漏洞信息详情

Parallels Virtuozzo Containers VZPP WEB界面文件管理器跨站请求伪造漏洞

• CNNVD编号：CNNVD-200903-273
• 危害等级： 中危
  
• CVE编号： CVE-2008-6478
• 漏洞类型： 跨站请求伪造
• 发布时间： 2009-03-16
• 威胁类型： 远程
• 更新时间： 2009-03-17
• 厂        商： parallels
• 漏洞来源： poplix

漏洞简介

Parallels Virtuozzo Containers是Parallels的主机操作虚拟化的解决方案。

Parallels Virtuozzo Containers 365.6.swsoft (build 4.0.0-365.6.swsoft)和25.4.swsoft (build 3.0.0-25.4.swsoft)的VZPP web界面的文件管理器中存在跨站请求伪造漏洞。远程攻击者可以借助对(1)创建文件和(2)vz/cp/vzdir/infrman/envs/files/中的列表控制的一个链接或IMG标签，像管理员一样创建和删除任意文件；或可以借助对vz/cp/vzdir/infrman/envs/files/index的路径参数，修改系统设置。

漏洞公告

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.parallels.com/products/pvc45/

参考网址

来源: XF

名称: virtuozzo-file-manager-csrf(41640)

链接: http://xforce.iss.net/xforce/xfdb/41640

来源: BID

名称: 28589

链接: http://www.securityfocus.com/bid/28589

来源: BUGTRAQ

名称: 20080402 Parallels virtuozzo's VZPP multiple csrf vulnerabilities

链接: http://www.securityfocus.com/archive/1/archive/1/490409/100/0/threaded

来源: SECUNIA

名称: 29675

链接: http://secunia.com/advisories/29675

来源: OSVDB

名称: 44395

链接: http://osvdb.org/44395

受影响实体

• Parallels Virtuozzo_containers:3.0.0-25.4.Swsoft  
• Parallels Virtuozzo_containers:4.0.0-365.6.Swsoft  

补丁

暂无