WD Arkeia virtual appliance 目录遍历漏洞

漏洞信息详情

WD Arkeia virtual appliance 目录遍历漏洞

• CNNVD编号：CNNVD-201404-558
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2014-2846
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2014-04-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2020-02-25
  
• 厂        商：
  
  wdc
• 漏洞来源：

WD Arkeia virtual appliance（AVA）是美国西部数据（Western Digital，WD）公司的一款用于备份和恢复虚拟设备的服务器，它支持数据保护、重复数据删除和直接备份磁盘和磁带等。

使用10.2.7及之前版本固件的AVA中的opt/arkeia/wui/htdocs/index.php脚本存在目录遍历漏洞。远程攻击者可借助‘lang Cookie’参数中的目录遍历序列(…/./)利用该漏洞读取任意文件和执行任意PHP代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://wiki.arkeia.com/index.php/Path_Traversal_Remote_Code_Execution

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Apr/257

来源:CONFIRM

链接:http://wiki.arkeia.com/index.php/Path_Traversal_Remote_Code_Execution

来源:BUGTRAQ

链接:http://www.securityfocus.com/archive/1/531910/100/0/threaded