JSPWiki 'Edit.jsp' 未限制文件上传漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1187449 漏洞类型 权限许可和访问控制
发布时间 2008-03-10 更新时间 2008-09-05
CVE编号 CVE-2008-1230 CNNVD-ID CNNVD-200803-118
漏洞平台 N/A CVSS评分 9.3
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200803-118
|漏洞详情
JSPWiki是一个不错的wiki引擎,纯jsp/servlet写的。JSPWiki不使用现成的数据库管理软件,所有的文件以文本文件的形式存放。它利用类似CVS的机制保证了文件版本的完整性。支持中文,支持版本比较、权限管理等功能!JSPWiki2.4.104和2.5.139版本中的未限制文件上传漏洞,远程攻击者借助未明操作,上传和运行任意的.jsp文件。该操作会把.jsp文件附加到"入口页"。
|参考资料

来源:XF
名称:jspwiki-install-file-upload(40511)
链接:http://xforce.iss.net/xforce/xfdb/40511
来源:BID
名称:27785
链接:http://www.securityfocus.com/bid/27785
来源:MILW0RM
名称:5112
链接:http://www.milw0rm.com/exploits/5112
来源:MISC
链接:http://www.bugsec.com/articles.php?Security=48&Web-Application-Firewall=0
来源:SECUNIA
名称:28969
链接:http://secunia.com/advisories/28969
来源:BUGTRAQ
名称:20080213JSPWikiMultipleVulnerabilities
链接:http://marc.info/?l=bugtraq&m=120300554011544&w=2