漏洞信息详情
Cutesoft_Components ASP.NET 'CuteSoft_Client/CuteEditor/Load.ashx' 目录遍历漏洞
- CNNVD编号:CNNVD-201003-055
- 危害等级: 中危
- CVE编号: CVE-2009-4665
- 漏洞类型: 路径遍历
- 发布时间: 2010-03-05
- 威胁类型: 远程
- 更新时间: 2010-03-06
- 厂 商: cutesoft_components
- 漏洞来源: Securitylab.ir
漏洞简介
ASP.NET是一套由Microsoft分发的帮助开发者构建基于WEB的应用的系统,这些WEB的应用包括使用ASP.NET,依靠HTTP提供连接,HTTP的其中之一的特征是一个无状态协议,也就是说每个用户提交的页面请求依靠每个独立的请求,为了补偿这个不足,ASP.NET通过多种模式提供会话状态管理。
ASP.NET的CuteSoft组件的精简版的文件CuteSoft_Client/CuteEditor/Load.ashx中存在目录遍历漏洞。远程攻击者可以借助文件参数(参数中包含一个\"..\")目录遍历符,读取任意文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
CuteSoft Components Cute Editor for ASP.NET 0
CuteSoft Components Cute Editor for .NET
http://cutesoft.net/downloads/folders/21904/download.aspx
参考网址
来源: BID
名称: 35085
链接:http://www.securityfocus.com/bid/35085
来源: XF
名称: cuteeditor-file-directory-traversal(50727)
链接:http://xforce.iss.net/xforce/xfdb/50727
来源: MILW0RM
名称: 8785
链接:http://www.milw0rm.com/exploits/8785
受影响实体
- Cutesoft_components Cute_editor_for_asp.Net
补丁
- CuteEditor_for_NET6
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论