Microsoft OWC Chart组件本地文件存在性泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204485 漏洞类型 设计错误
发布时间 2002-04-08 更新时间 2005-10-20
CVE编号 CVE-2002-1338 CNNVD-ID CNNVD-200212-026
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-026
|漏洞详情
MicrosoftOfficeWebComponents(OWC)是一套ActiveX对象,使用Spreadsheets、Charts、Pivottables等提供WEB页面更丰富的HTML文档形式。OWC在OFFCIE2000和OFFICEXP下都默认安装,也可以独立的下载使用。MicrosoftOfficeWebComponents(OWC9和OWC10)中的Chart组件中的"Load"属性存在问题,可导致远程攻击者可以通过此属性来判断本地主机上文件是否存在。问题存在于MicrosoftOfficeWebComponents(OWC9和OWC10)中的Chart组件中,其中的"Load"属性没有很好的对指定URL进行安全检查,可导致攻击者通过指定一URL到本地系统文件上并通过错误来判断文件是否存在。
|参考资料

来源:US-CERTVulnerabilityNote:VU#156123
名称:VU#156123
链接:http://www.kb.cert.org/vuls/id/156123
来源:security.greymagic.com
链接:http://security.greymagic.com/adv/gm008-ie/
来源:XF
名称:owc-chart-load-exist(8784)
链接:http://xforce.iss.net/xforce/xfdb/8784
来源:BID
名称:4454
链接:http://www.securityfocus.com/bid/4454
来源:BUGTRAQ
名称:20020408MultiplelocalfilesdetectionissueswithOWCinIE(GM#008-IE)
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=101830175621193&w=2