漏洞信息详情

AjaXplorer 目录遍历漏洞

• CNNVD编号：CNNVD-201309-054
• 危害等级： 中危
  
• CVE编号： CVE-2013-5688
• 漏洞类型： 路径遍历
• 发布时间： 2013-09-09
• 威胁类型： 远程
• 更新时间： 2013-11-06
• 厂        商： ajaxplorer
• 漏洞来源： Vikas Singhal of T...

漏洞简介

AjaXplorer是一款基于Web的远程文件管理器。该管理器支持上传和下载文件、在线文件编辑、图片预览等。

AjaXplorer 5.0.2及之前的版本中存在目录遍历漏洞，该漏洞源于index.php脚本没有正确过滤download或get_content操作中的‘file’参数。远程经过授权的攻击者可借助目录遍历序列（‘../\\%00’）利用该漏洞读取任意文件，或通过upload操作中的‘dir’参数上传任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://pyd.io/ajaxplorer-core-5-0-3/

参考网址

来源: www.trustwave.com

链接:https://www.trustwave.com/spiderlabs/advisories/TWSL2013-027.txt

来源: OSVDB

名称: 97022

链接:http://osvdb.org/97022

来源: ajaxplorer.info

链接:http://ajaxplorer.info/ajaxplorer-core-5-0-3/

来源: BID

名称: 62260

链接:http://www.securityfocus.com/bid/62260

受影响实体

• Ajaxplorer Ajaxplorer:4.2.0  
• Ajaxplorer Ajaxplorer:4.2.2  
• Ajaxplorer Ajaxplorer:5.0.0  
• Ajaxplorer Ajaxplorer:4.2.3  
• Ajaxplorer Ajaxplorer:5.0.1  

补丁

• ajaxplorer-core-5.0.3