漏洞信息详情
Numarasoftware Numara FootPrints MRchat.pl和MRABLoad2.pl输入验证漏洞
- CNNVD编号:CNNVD-200909-032
- 危害等级: 超危
- CVE编号: CVE-2008-7158
- 漏洞类型: 操作系统命令注入
- 发布时间: 2008-01-21
- 威胁类型: 远程
- 更新时间: 2009-09-02
- 厂 商: numarasoftware
- 漏洞来源: Ricky Zhou
漏洞简介
Numara FootPrints是一款资产管理系统。 Numara FootPrints的多个脚本实现上存在输入验证漏洞,远程攻击者可能利用此漏洞控制服务器。 Numara FootPrints的/MRcgi/MRchat.pl文件中没有正确地验证对transcriptFile参数的输入,/MRcgi/MRABLoad2.pl文件中没有正确地验证对LOADFILE参数的输入,便将这些参数用到了open()调用中,这可能允许攻击者通过\"|\"字符注入并执行任意命令。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://support.unipress.com/MRcgi/MRTicketPage.pl?USER=&MRP=0&PROJECTID=4&MR=89552&MAXMININC=&MAJOR_MODE=DETAILS
参考网址
来源: footprintssupport.numarasoftware.com 链接:https://footprintssupport.numarasoftware.com/MRcgi/MRTicketPage.pl?USER=&MRP=0&PROJECTID=4&MR=89552&MAXMININC=&MAJOR_MODE=DETAILS 来源: XF 名称: footprints-transcriptfile-command-execution(39810) 链接:http://xforce.iss.net/xforce/xfdb/39810 来源: BID 名称: 27373 链接:http://www.securityfocus.com/bid/27373 来源: SECUNIA 名称: 28390 链接:http://secunia.com/advisories/28390 来源: OSVDB 名称: 42816 链接:http://osvdb.org/42816 来源: OSVDB 名称: 42813 链接:http://osvdb.org/42813
受影响实体
- Numarasoftware Footprints:8.0
- Numarasoftware Footprints:8.0a
- Numarasoftware Footprints:7.5a
- Numarasoftware Footprints:7.5a1
补丁
暂无
评论