漏洞信息详情

Adobe RoboHelp Server不受限文件上传漏洞

• CNNVD编号：CNNVD-200909-072
• 危害等级： 中危
  
• CVE编号： CVE-2009-3068
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2009-09-04
• 威胁类型： 远程
• 更新时间： 2011-07-15
• 厂        商： adobe
• 漏洞来源： Intevydis and Step...

漏洞简介

Adobe RoboHelp是美国奥多比（Adobe）公司的一套专业创作工具。该工具可用于开发帮助系统、电子教学内容、知识库等。

Adobe RoboHelp Server 8版本中的RoboHelpServer Servlet (robohelp/server)中存在不受限文件上传漏洞。远程攻击者可在执行PUBLISH操作期间通过上传Java Archive (.jsp)文件执行任意代码，并借助对robohelp/robo/reserved/web目录下sessionid子目录中的文件的直接请求访问该文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接： http://www.adobe.com/support/security/bulletins/apsb09-14.HTML

参考网址

来源: MISC

链接:http://www.zerodayinitiative.com/advisories/ZDI-09-066

来源: BID

名称: 36245

链接:http://www.securityfocus.com/bid/36245

来源: BUGTRAQ

名称: 20090923 ZDI-09-066: Adobe RoboHelp Server Arbitrary File Upload and Execute Vulnerability

链接:http://www.securityfocus.com/archive/1/archive/1/506687/100/0/threaded

来源: MISC

链接:http://www.intevydis.com/blog/?p=69

来源: MISC

链接:http://www.intevydis.com/blog/?p=26

来源: www.adobe.com

链接:http://www.adobe.com/support/security/bulletins/apsb09-14.HTML

来源: MISC

链接:http://twitter.com/elegerov/statuses/3737725344

来源: MISC

链接:http://twitter.com/elegerov/statuses/3737538715

来源: MISC

链接:http://twitter.com/elegerov/statuses/3727947465

来源: SECUNIA

名称: 36467

链接:http://secunia.com/advisories/36467

来源: MISC

链接:http://intevydis.com/vd-list.sHTML

来源: MISC

链接:http://blogs.adobe.com/psirt/2009/09/potential_robohelp_server_8_is.HTML

受影响实体

• Adobe Robohelp_server:8  

补丁

暂无