漏洞信息详情
Plone File Object 信息泄露漏洞
- CNNVD编号:CNNVD-201312-516
- 危害等级: 中危
- CVE编号: CVE-2013-7060
- 漏洞类型: 信息泄露
- 发布时间: 2013-12-27
- 威胁类型: 远程
- 更新时间: 2014-05-06
- 厂 商: plone
- 漏洞来源: Richard Mitchell o...
漏洞简介
Plone是美国Plone基金会的一套建立在应用服务器(Zope)上的免费且开源的内容管理系统(CMS)。该系统采用Python语言开发,适用于门户网站、企业内外网站、文档发布系统等。
Plone 3.3至4.3.2版本的Products/CMFPlone/FactoryTool.py文件存在安全漏洞,该漏洞源于文档的文件对象在类范围内初始化没有清除。远程攻击者可利用该漏洞获取安装路径。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://plone.org/security/20131210/path-leak
参考网址
来源:MLIST
名称:[oss-security] 20131210 CVE request for Plone
链接:http://www.openwall.com/lists/oss-security/2013/12/10/15
来源:plone.org
链接:https://plone.org/security/20131210/path-leak
来源:MLIST
名称:[oss-security] 20131211 Re: CVE request for Plone
链接:http://www.openwall.com/lists/oss-security/2013/12/12/3
来源:SECUNIA
名称:56015
链接:http://secunia.com/advisories/56015
来源: BID
名称: 64246
链接:http://www.securityfocus.com/bid/64246
受影响实体
- Plone Plone:4.1.4
- Plone Plone:4.1.5
- Plone Plone:4.1.6
- Plone Plone:3.3
- Plone Plone:4.0.9
补丁
- Plone-4.3.3-64
- Plone-4.3.3-UnifiedInstaller
评论