Square Squash 代码注入漏洞

漏洞信息详情

Square Squash 代码注入漏洞

• CNNVD编号：CNNVD-201405-519
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2013-5036
  
• 漏洞类型：
  
  
  代码注入
  
• 发布时间：
  
  2014-05-29
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-06-04
  
• 厂        商：
  
  squash
• 漏洞来源：

Square Squash是美国Square公司的一套异常报告和缺陷分析工具。该工具提供数据图表分析、代码分析和Bug跟踪等功能。

Square Squash的app/controllers/api/v1_controller.rb文件中的‘deobfuscation’和‘sourcemap’函数存在安全漏洞。远程攻击者可借助YAML文档利用该漏洞执行任意代码。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：
https://github.com/SquareSquash/web/commit/6d667c19e96e4f23dccbfbe24afeebd18e98e1c5

来源:EXPLOIT-DB

名称:27530

链接:http://www.exploit-db.com/exploits/27530

来源:github.com

链接:https://github.com/SquareSquash/web/commit/6d667c19e96e4f23dccbfbe24afeebd18e98e1c5

来源:XF

名称:squash-yaml-code-execution(86335)

链接:http://xforce.iss.net/xforce/xfdb/86335

来源:ceriksen.com

链接:http://ceriksen.com/2013/08/06/squash-remote-code-execution-vulnerability-advisory/

来源:OSVDB

名称:95992

链接:http://osvdb.org/95992