漏洞信息详情
Hannonhill Cascade Server XLST处理远程命令执行漏洞
- CNNVD编号:CNNVD-200903-432
- 危害等级: 中危
- CVE编号: CVE-2009-1088
- 漏洞类型: 代码注入
- 发布时间: 2009-03-25
- 威胁类型: 远程
- 更新时间: 2009-03-26
- 厂 商: hannonhill
- 漏洞来源: Bradley Wagner
漏洞简介
Cascade Server是一款功能强大的web内容管理(WCM)解决方案。
Cascade Server没有限制用户可访问的某些XSLT代码,可以任何编辑XSLT样式表的用户都可以导致Cascade Server执行任意Java代码。通过使用java.lang.Runtime类,Java可以运行shell命令。 尽管Cascade Server进程的权限级别还不足以完全控制主机系统,但可以控制Cascade Server。
漏洞公告
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.hannonhill.com/products/cascade-server/index.HTML
参考网址
来源: XF
名称: rapidleech-file名称-info-disclosure(49253)
链接: http://xforce.iss.net/xforce/xfdb/49253
来源: BID
名称: 34119
链接: http://www.securityfocus.com/bid/34119
来源: BUGTRAQ
名称: 20090314 [Bkis-03-2009] Multiple Vulnerabilities found in Rapidleech rev.36
链接: http://www.securityfocus.com/archive/1/archive/1/501854/100/0/threaded
来源: SECUNIA
名称: 34300
链接: http://secunia.com/advisories/34300
受影响实体
- Hannonhill Cascade:5.7:Svr
补丁
暂无
评论