Caldera 未授权访问漏洞

发布日期:2014-05-07
更新日期:2014-05-10

受影响系统:
Caldera Caldera 9.20
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 67254
 CVE(CAN) ID: CVE-2014-2936
 
Caldera是RIP软件、色彩管理软件、工作流软件。
 
Caldera 9.20及更早版本的目录过滤器存在安全漏洞,可导致篡改全局变量作用域内的变量。下列脚本受到全局变量作用域注入攻击:
 * /PPD/index.php
 * /dirmng/docmd.php
 * /dirmng/index.php
 * /dirmng/param.php
 

<*来源:Thomas Fischer
        Markus Wulftange
 
  链接:
 *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
/dirmng/index.php?maindir_hotfolder=/var/www/caldera/html/

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Caldera
 -------
 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
 

 

 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/e1bebec5ad3919497eec462ca3ed9116.html