漏洞信息详情

Jetro COCKPIT Secure Browsing 输入验证漏洞

• CNNVD编号：CNNVD-201402-233
• 危害等级： 超危
  
• CVE编号： CVE-2014-1861
• 漏洞类型： 输入验证
• 发布时间： 2014-02-20
• 威胁类型： 远程
• 更新时间： 2014-02-20
• 厂        商： jetroplatforms
• 漏洞来源：

漏洞简介

Jetro COCKPIT Secure Browsing（JCSB）是以色列Jetro Platforms公司的一套安全浏览解决方案。该方案支持从DMZ服务器端中的虚拟浏览器浏览企业网络之外的网页，并能够识别恶意代码、防止已知的威胁等。

JCSB 4.3.1和4.3.3版本中的客户端中存在输入验证漏洞，该漏洞源于程序没有验证RDP_FILE_TRANSFER文档中的FileName元素。远程攻击者可通过提供EXE扩展文件利用该漏洞执行任意程序。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://jetroplatforms.com/products/cockpit4i-secure-browsing/

参考网址

来源: blog.quaji.com

链接:http://blog.quaji.com/2014/02/remote-code-execution-on-all-enterprise.HTML

来源: BUGTRAQ

名称: 20140217 Jetro Cockpit Secure Browsing vulnerability - Client missing input validation allowing RCE

链接:http://archives.neohapsis.com/archives/bugtraq/2014-02/0075.HTML

受影响实体

• Jetroplatforms Jetro_cockpit_secure_browsing:4.3.3  
• Jetroplatforms Jetro_cockpit_secure_browsing:4.3.1  

补丁

暂无