Összefoglaló
A Velocity Analytics sérülékenysége vált ismertté, amit kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
A VhttpdMgr-nek (amikor “action” értéke “importFile”) a “filename” paraméterben átadott bemeneti adat nincs megfelelően ellenőrizve fájlok feltöltésekor. Ezt kihasználva tetszőleges fájlokat lehet feltölteni és futtatni.
A sérülékenységet a 6.94 build 2995 verzióban jelentették, de más verzió is érintett lehet.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 55833
cve:CVE-2013-5912
Egyéb referencia: www.kb.cert.org