漏洞信息详情
Adobe RoboHelp Server不受限文件上传漏洞
- CNNVD编号:CNNVD-200909-072
- 危害等级: 中危
- CVE编号: CVE-2009-3068
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2009-09-04
- 威胁类型: 远程
- 更新时间: 2011-07-15
- 厂 商: adobe
- 漏洞来源: Intevydis and Step...
漏洞简介
Adobe RoboHelp是美国奥多比(Adobe)公司的一套专业创作工具。该工具可用于开发帮助系统、电子教学内容、知识库等。
Adobe RoboHelp Server 8版本中的RoboHelpServer Servlet (robohelp/server)中存在不受限文件上传漏洞。远程攻击者可在执行PUBLISH操作期间通过上传Java Archive (.jsp)文件执行任意代码,并借助对robohelp/robo/reserved/web目录下sessionid子目录中的文件的直接请求访问该文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://www.adobe.com/support/security/bulletins/apsb09-14.HTML
参考网址
来源: MISC
链接:http://www.zerodayinitiative.com/advisories/ZDI-09-066
来源: BID
名称: 36245
链接:http://www.securityfocus.com/bid/36245
来源: BUGTRAQ
名称: 20090923 ZDI-09-066: Adobe RoboHelp Server Arbitrary File Upload and Execute Vulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/506687/100/0/threaded
来源: MISC
链接:http://www.intevydis.com/blog/?p=69
来源: MISC
链接:http://www.intevydis.com/blog/?p=26
来源: www.adobe.com
链接:http://www.adobe.com/support/security/bulletins/apsb09-14.HTML
来源: MISC
链接:http://twitter.com/elegerov/statuses/3737725344
来源: MISC
链接:http://twitter.com/elegerov/statuses/3737538715
来源: MISC
链接:http://twitter.com/elegerov/statuses/3727947465
来源: SECUNIA
名称: 36467
链接:http://secunia.com/advisories/36467
来源: MISC
链接:http://intevydis.com/vd-list.sHTML
来源: MISC
链接:http://blogs.adobe.com/psirt/2009/09/potential_robohelp_server_8_is.HTML
受影响实体
- Adobe Robohelp_server:8
补丁
暂无
评论