TimThumb和WordThumb WebShot Feature 代码注入漏洞-一一网

TimThumb和WordThumb WebShot Feature 代码注入漏洞

4年前更新

1520

漏洞信息详情

TimThumb和WordThumb WebShot Feature 代码注入漏洞

CNNVD编号：CNNVD-201406-680

危害等级：中危
CVE编号：
CVE-2014-4663
漏洞类型：

代码注入
发布时间：

2014-06-30
威胁类型：

远程
更新时间：

2014-07-16
厂商：

binarymoon
漏洞来源：
Pichaya Morimoto

漏洞简介

TimThumb和WordThumb都是缩略图生成脚本，它可对动态图像进行裁剪、缩放和调整操作。WebShot是一套支持将网页或整个网站拍成照片或缩略图的工具。

TimThumb 2.8.13版本和WordThumb 1.07版本中存在安全漏洞。当程序使用‘Webshot’时，远程攻击者可借助‘src’参数中的shell元字符利用该漏洞执行任意命令。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.binarymoon.co.uk/projects/timthumb/

参考网址

来源:code.google.com

链接:https://code.google.com/p/timthumb/issues/detail?id=485

来源:code.google.com

链接:https://code.google.com/p/timthumb/source/detail?r=219

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127192/TimThumb-2.8.13-Remote-Code-Execution.html

来源:MLIST

链接:http://seclists.org/oss-sec/2014/q2/689

来源:EXPLOIT-DB

链接:http://www.exploit-db.com/exploits/33851

来源:SECUNIA

链接:http://secunia.com/advisories/59558

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Jul/4

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Jun/117

来源: BID

链接:http://www.securityfocus.com/bid/68180

受影响实体

Binarymoon Timthumb:2.8.13
Binarymoon Wordthumb:1.07

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐