漏洞信息详情

DateV DVBSExeCall.ocx ActiveX控件远程命令执行漏洞

• CNNVD编号：CNNVD-201002-285
• 危害等级： 超危
  
• CVE编号： CVE-2010-0689
• 漏洞类型： 其他
• 发布时间： 2010-02-26
• 威胁类型： 远程
• 更新时间： 2010-03-01
• 厂        商： datev
• 漏洞来源： Nikolas Sotiriu

漏洞简介

DateV是德国的一家软件公司，产品主要为财务、税务、咨询类软件。

DateV存在任意代码执行漏洞。在安装DATEV Base System期间默认会安装一个Datev DVBSExeCall ActiveX控件(DVBSExeCall.ocx)。该控件没有正确地过滤传送给ExecuteExe函数的输入参数，用户受骗访问了恶意网页就可能导致执行任意指令。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.datev.de/portal/ShowPage.do?pid=dpi&nid=96550

参考网址

来源: BID

名称: 38415

链接:http://www.securityfocus.com/bid/38415

来源: BUGTRAQ

名称: 20100225 NSOADV-2010-003: DATEV ActiveX Control remote command execution

链接:http://www.securityfocus.com/archive/1/archive/1/509743/100/0/threaded

来源: www.datev.de

链接:http://www.datev.de/info-db/1080162

来源: sotiriu.de

链接:http://sotiriu.de/demos/videos/nso-2010-003.HTML

来源: sotiriu.de

链接:http://sotiriu.de/adv/NSOADV-2010-003.txt

来源: SECUNIA

名称: 38716

链接:http://secunia.com/advisories/38716

来源：NSFOCUS 名称：14543 链接：http://www.nsfocus.net/vulndb/14543

受影响实体

• Datev Base_system  

补丁

暂无