LOCKON EC-CUBE 多个目录遍历漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1166432 漏洞类型 路径遍历
发布时间 2013-08-30 更新时间 2013-08-30
CVE编号 CVE-2013-4702 CNNVD-ID CNNVD-201308-482
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/62088
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201308-482
|漏洞详情
LOCKONEC-CUBE是日本LOCKON公司开发的一套开源的电子商务网站构建平台。该平台支持商品登录、用户评价、美工布局等。Windows平台上的LOCKONEC-CUBE2.12.0至2.12.5版本中的data/class/api/SC_Api_Operation.php文件中的‘doApiAction’函数中存在多个目录遍历漏洞。远程攻击者可通过(1)Operation(2)Service(3)Style(4)Validate或(5)Version值利用这些漏洞读取任意文件。
|受影响的产品
EC-CUBE EC-CUBE 2.12.5 EC-CUBE EC-CUBE 2.12.4 EC-CUBE EC-CUBE 2.12.3 EC-CUBE EC-CUBE 2.12.2 EC-CUBE EC-CUBE 2.12.1 EC-CUBE EC-CUBE 2.12 EC-CUBE EC-CUBE
|参考资料

来源:www.ec-cube.net
链接:http://www.ec-cube.net/info/weakness/weakness.php?id=50
来源:www.ec-cube.net
链接:http://www.ec-cube.net/info/weakness/20130829/index.php
来源:svn.ec-cube.net
链接:http://svn.ec-cube.net/open_trac/changeset/22891
来源:JVNDB
名称:JVNDB-2013-000081
链接:http://jvndb.jvn.jp/jvndb/JVNDB-2013-000081
来源:JVN
名称:JVN#15973066
链接:http://jvn.jp/en/jp/JVN15973066/index.html