Mutiny 多个目录遍历漏洞

漏洞信息详情

Mutiny 多个目录遍历漏洞

• CNNVD编号：CNNVD-201305-302
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2013-0136
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2013-05-16
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-06-03
  
• 厂        商：
  
  mutiny
• 漏洞来源：
  Juan Vazquez

Mutiny是英国Mutiny公司的一个网络监控设备。

Mutiny 5.0-1.11之前的版本中的Frontend中的EditDocument servlet中存在多个目录遍历漏洞。远程经过授权的攻击者可通过(1)UPLOAD操作中的uploadPath参数；(2)DELETE，(3)CUT或(4)COPY操作中的paths[]参数；或(5)CUT或(6)COPY操作中的newPath参数利用这些漏洞上传任意程序，读取任意文件，或造成拒绝服务（文件删除或重命名）。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.kb.cert.org/vuls/id/701572

来源:US-CERT Vulnerability Note: VU#701572

名称: VU#701572

链接:http://www.kb.cert.org/vuls/id/701572

来源: community.rapid7.com

链接:https://community.rapid7.com/community/metasploit/blog/2013/05/15/new-1day-exploits-mutiny-vulnerabilities

来源:SECUNIA

名称:53423

链接:http://secunia.com/advisories/53423