Reportico PHP Report Designer ‘xmlin’参数目录遍历漏洞

漏洞信息详情

Reportico PHP Report Designer ‘xmlin’参数目录遍历漏洞

• CNNVD编号：CNNVD-201407-325
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-3777
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2014-06-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-07-17
  
• 厂        商：
  
  reportico
• 漏洞来源：
  ms – secveritas.com

Reportico PHP Report Designer是一套基于PHP的开源报表生成工具。该工具支持从一个单一的SQL命令创建报表，并建立一整套的报表菜单，包括标准条目、图表和群组等。

Reportico PHP Report Designer 3.3及之前的版本中存在目录遍历漏洞。远程攻击者可借助xmlin参数中的目录遍历字符（‘..’）利用该漏洞读取任意文件。

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.reportico.org/site/index.php

来源:packetstormsecurity.com

链接:http://packetstormsecurity.com/files/127280/Reportico-Admin-Credential-Leak.html

来源:www.secveritas.com

链接:http://www.secveritas.com/secv-05-1402.html

来源:FULLDISC

链接:http://seclists.org/fulldisclosure/2014/Jun/144

来源:OSVDB

链接:http://www.osvdb.org/108612

来源: BID

链接:http://www.securityfocus.com/bid/68290