漏洞信息详情

Watchfire AppScan ActiveX 控件 路径遍历漏洞

• CNNVD编号：CNNVD-200804-433
• 危害等级： 高危
  
• CVE编号： CVE-2008-2015
• 漏洞类型： 路径遍历
• 发布时间： 2008-04-29
• 威胁类型： 远程
• 更新时间： 2008-09-05
• 厂        商： watchfire
• 漏洞来源： callAX

漏洞简介

WatchFire AppScan 7.0的某个ActiveX控件中存在多个完全路径游历漏洞。远程攻击者通过向(1) CompactSave 和 (2)一个控件中的SaveSession 方法函数, 以及 (3) 一个不同控件中的saveRecordedExploreToFile路径函数发射变量中的一个完整路径名，来写满任意文件。 注意：该漏洞可以通过对Startup文件夹的写入扩大为执行任意代码。

漏洞公告

目前厂商还没有提供补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.watchfire.com/securityzone/product/default.aspx

参考网址

来源: XF

名称: appscan-activex-file-overwrite(42077)

链接:http://xforce.iss.net/xforce/xfdb/42077

来源: SECTRACK

名称: 1019948

链接:http://www.securitytracker.com/id?1019948

来源: BID

名称: 28940

链接:http://www.securityfocus.com/bid/28940

来源: MILW0RM

名称: 5496

链接:http://www.milw0rm.com/exploits/5496

受影响实体

• Watchfire Appscan:7.0  

补丁

暂无