漏洞信息详情

Umbraco CMS TemplateService组件授权问题漏洞

• CNNVD编号：CNNVD-201312-571
• 危害等级： 中危
  
• CVE编号： CVE-2013-4793
• 漏洞类型： 授权问题
• 发布时间： 2013-11-29
• 威胁类型： 远程
• 更新时间： 2015-01-04
• 厂        商： umbraco
• 漏洞来源： MWR Labs

漏洞简介

Umbraco CMS是丹麦Umbraco公司的一套使用ASP.Net建立，Mysql进行数据存储的内容管理系统，它支持自定义模板、支持用户管理、支持对内容进行权限定义等。TemplateService是其中的一个模板服务组件。

Umbraco CMS 6.0.3及之前版本的TemplateService组件中的umbraco.webservices/templates/templateService.cs文件中的‘update’函数存在安全漏洞，该漏洞源于程序没有要求身份验证。远程攻击者可通过发送特制的请求利用该漏洞执行任意ASP.NET代码。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://umbraco.com/download

参考网址

来源:labs.mwrinfosecurity.com

链接:https://labs.mwrinfosecurity.com/advisories/2013/11/29/umbraco-CMS-templateservice-remote-code-execution/

来源: BID

链接:http://www.securityfocus.com/bid/64526

受影响实体

• Umbraco Umbraco_CMS:6.0.3  

补丁

• UmbracoCMS.AllBinaries.6.0.4