漏洞信息详情
Nusoftware nuBuilder 'productionnu2/fileuploader.php'目录遍历漏洞
- CNNVD编号:CNNVD-201007-248
- 危害等级: 中危
- CVE编号: CVE-2010-2850
- 漏洞类型: 路径遍历
- 发布时间: 2010-07-28
- 威胁类型: 远程
- 更新时间: 2010-07-29
- 厂 商: nusoftware
- 漏洞来源: John Leitch
漏洞简介
nuBuilder 是一个基于Web的数据库开发工具,类似微软的Access。不同的是nuBuilder完全基于浏览器。nuBuilder可以用来根据数据库结构生成表单和报表。
nuBuilder 10.04.20版本,以及可能10.07.12之前其他版本中的productionnu2/fileuploader.php存在目录遍历漏洞。远程攻击者可以借助dir参数中的\"..\"(点 点)包含和执行任意本地文件。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.nubuilder.com/nubuilderwww/
参考网址
来源: www.nubuilder.com
链接:http://www.nubuilder.com/nubuilderwww/change.php?changelog_id=14c3d1ea2a9fab
来源: XF
名称: nubuilder-fileuploader-file-include(60138)
链接:http://xforce.iss.net/xforce/xfdb/60138
来源: VUPEN
名称: ADV-2010-1726
链接:http://www.vupen.com/english/advisories/2010/1726
来源: BID
名称: 41404
链接:http://www.securityfocus.com/bid/41404
来源: OSVDB
名称: 66006
链接:http://www.osvdb.org/66006
来源: SECUNIA
名称: 40483
链接:http://secunia.com/advisories/40483
来源: MISC
链接:http://packetstormsecurity.org/1007-exploits/nubuilder-lfi.txt
来源: MISC
链接:http://cross-site-scripting.blogspot.com/2010/07/nubuilder-100420-local-file-inclusion.HTML
受影响实体
- Nusoftware Nubuilder:10.04.20
- Nusoftware Nubuilder:09.09.23
- Nusoftware Nubuilder:09.08.20
- Nusoftware Nubuilder:09.07.24
- Nusoftware Nubuilder:09.06.26
补丁
- Ubuntu/Debian Installer
- Windows Installer
- Linux/Unix
- Windows Zip
评论