Thomson Reuters Velocity Analytics 远程代码注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1121951 漏洞类型 代码注入
发布时间 2013-11-22 更新时间 2013-11-22
CVE编号 CVE-2013-5912 CNNVD-ID CNNVD-201311-427
漏洞平台 Hardware CVSS评分 10.0
|漏洞来源
https://www.exploit-db.com/exploits/38850
https://www.securityfocus.com/bid/63880
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201311-427
|漏洞详情
ThomsonReutersVelocityAnalytics是美国汤森路透(ThomsonReuters)公司的一套标准化数据分析和票务数据管理平台。该平台集成了一个数据存储库,可对元数据、第三方数据源、专有数据提供数据管理功能。ThomsonReutersVelocityAnalyticsVhayuAnalyticServer6.94build2995及之前的版本中存在代码注入漏洞,该漏洞源于VhttpdMgr脚本没有正确过滤‘fileName’参数。远程攻击者可通过上传PHP文件利用该漏洞以系统权限执行任意代码。
|漏洞EXP
source: http://www.securityfocus.com/bid/63880/info

Thomson Reuters Velocity Analytics is prone to a vulnerability that lets attackers inject and execute arbitrary code.

Successfully exploiting this issue may allow an attacker to upload and execute arbitrary code with SYSTEM privileges.

Thomson Reuters Velocity Analytics 6.94 build 2995 is vulnerable; other versions may also be affected. 

http://www.example.com/VhttpdMgr?action=importFile&fileName={BACKDOOR}
|参考资料

来源:US-CERTVulnerabilityNote:VU#893462
名称:VU#893462
链接:http://www.kb.cert.org/vuls/id/893462
来源:SECUNIA
名称:55833
链接:http://secunia.com/advisories/55833
来源:BID
名称:63880
链接:http://www.securityfocus.com/bid/63880