LiveZilla 'setCookieValue()'函数PHP对象注入漏洞

发布日期:2013-12-14
更新日期:2014-05-06

受影响系统:
LiveZilla GmbH LiveZilla < 5.1.2.1
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 64383
 CVE(CAN) ID: CVE-2013-7034
 
LiveZilla是在线帮助及在线支持系统。
 
LiveZilla 5.1.2.0及其他版本中,in _lib/functions.global.inc.php的setCookieValue函数在实现上存在远程PHP对象注入漏洞。攻击者通过使用可控的livezilla cookie(livezilla cookie是一个经过base64编码的序列化的php object)可以注入已有的对象实例。该漏洞成功利用可能使得攻击者可以删除文件或实施跨站脚本攻击。
 
<*来源:Jakub Zoczek
  *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
LiveZilla GmbH
 --------------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
?/topic/163-livezilla-changelog/

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/ae825f96c58f7bdcc6f09b2e9e74650c.html