Elastic Path 多个目录遍历漏洞

漏洞信息详情

Elastic Path 多个目录遍历漏洞

• CNNVD编号：CNNVD-200804-005
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2008-1606
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2008-04-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2008-09-11
  
• 厂        商：
  
  elastic_path
• 漏洞来源：
  Daniel Martin Gome…

Elastic Path (EP) 4.1和4.1.1版本存在多个目录遍历漏洞，它允许发送到远程攻击者借助到manager/getImportFileRedirect.jsp的文件参数（该参数中包含..）下载任意文件；借助到manager/getImportFileRedirect.jsp的文件参数（该参数中包含..）上传任意文件；借助到manager/fileManager.jsp的dir参数中的\”..＼\”上传任意文件。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

http://www.elasticpath.com/

来源: SECUNIA

名称: 29496

链接:http://secunia.com/advisories/29496

来源: XF

名称: elasticpath-pathdir-directory-traversal(41364)

链接:http://xforce.iss.net/xforce/xfdb/41364

来源: XF

名称: elastic-path-multiple-directory-traversal(41356)

链接:http://xforce.iss.net/xforce/xfdb/41356

来源: BID

名称: 28352

链接:http://www.securityfocus.com/bid/28352

来源: MISC

链接:http://www.mwrinfosecurity.com/publications/mwri_elastic-path-arbitrary-file-system-access_2008-02-22.pdf

来源: MISC

链接:http://weblog.nomejortu.com/?p=37

来源: CONFIRM

链接:http://developer.elasticpath.com/entry%21default.jspa?categoryID=4&externalID=1334