Karteek Docsplit for Ruby ‘extract_from_ocr’函数任意命令执行漏洞

漏洞信息详情

Karteek Docsplit for Ruby ‘extract_from_ocr’函数任意命令执行漏洞

• CNNVD编号：CNNVD-201304-548
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2013-1933
  
• 漏洞类型：
  
  
  操作系统命令注入
  
• 发布时间：
  
  2013-04-26
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-04-26
  
• 厂        商：
  
  documentcloud
• 漏洞来源：

Karteek Docsplit (karteek-docsplit)是命令行工具和分割文档的Ruby库。

Karteek Docsplit (karteek-docsplit) gem 0.5.4 for Ruby中的lib/docsplit/text_extractor.rb中的‘extract_from_ocr’函数中存在漏洞。上下文相关的攻击者可通过PDF文件名中的shell元字符利用该漏洞执行任意命令。

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

https://rubygems.org/gems/karteek-docsplit

来源: XF

名称: karteekdocsplit-cve20131933-command-exec(83277)

链接:http://xforce.iss.net/xforce/xfdb/83277

来源: MLIST

名称: [oss-security] 20130408 Re: Remote Command Injection Ruby Gem Karteek Docsplit 0.5.4

链接:http://www.openwall.com/lists/oss-security/2013/04/08/15

来源: vapid.dhs.org

链接:http://vapid.dhs.org/advisories/karteek-docsplit-cmd-inject.html

来源: OSVDB

名称: 92117

链接:http://osvdb.org/92117