漏洞信息详情

Hannonhill Cascade Server XLST处理远程命令执行漏洞

• CNNVD编号：CNNVD-200903-432
• 危害等级： 中危
  
• CVE编号： CVE-2009-1088
• 漏洞类型： 代码注入
• 发布时间： 2009-03-25
• 威胁类型： 远程
• 更新时间： 2009-03-26
• 厂        商： hannonhill
• 漏洞来源： Bradley Wagner

漏洞简介

Cascade Server是一款功能强大的web内容管理(WCM)解决方案。

Cascade Server没有限制用户可访问的某些XSLT代码，可以任何编辑XSLT样式表的用户都可以导致Cascade Server执行任意Java代码。通过使用java.lang.Runtime类，Java可以运行shell命令。 尽管Cascade Server进程的权限级别还不足以完全控制主机系统，但可以控制Cascade Server。

漏洞公告

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.hannonhill.com/products/cascade-server/index.HTML

参考网址

来源: XF

名称: rapidleech-file名称-info-disclosure(49253)

链接: http://xforce.iss.net/xforce/xfdb/49253

来源: BID

名称: 34119

链接: http://www.securityfocus.com/bid/34119

来源: BUGTRAQ

名称: 20090314 [Bkis-03-2009] Multiple Vulnerabilities found in Rapidleech rev.36

链接: http://www.securityfocus.com/archive/1/archive/1/501854/100/0/threaded

来源: SECUNIA

名称: 34300

链接: http://secunia.com/advisories/34300

受影响实体

• Hannonhill Cascade:5.7:Svr  

补丁

暂无