SearchBlox 远程命令注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1166524 漏洞类型 代码注入
发布时间 2013-08-23 更新时间 2013-08-23
CVE编号 CVE-2013-3590 CNNVD-ID CNNVD-201308-397
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
https://www.securityfocus.com/bid/61975
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201308-397
|漏洞详情
SearchBlox是美国SearchBlox公司的一套开源免费的基于Lucene(全文检索引擎工具包)构建的企业搜索和分析解决方案。该方案提供一个基于Web的管理界面,可以管理整个搜索系统。SearchBlox7.5及之前的版本中的admin/uploadImage.html页面中存在未限制文件上传漏洞。远程攻击者可通过上传带有image/jpeg内容类型的可执行文件(如JSP文件),然后访问此文件,利用该漏洞执行任意代码。
|参考资料

来源:US-CERTVulnerabilityNote:VU#592942
名称:VU#592942
链接:http://www.kb.cert.org/vuls/id/592942
来源:www.searchblox.com
链接:http://www.searchblox.com/developers-2/change-log
来源:buddhalabs.com
链接:http://buddhalabs.com/Advisories/WebAdvisories.html
来源:BID
名称:61975
链接:http://www.securityfocus.com/bid/61975