Trend Micro Control Manager ‘module’参数目录遍历漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
Trend Micro Control Manager 5.5 Build 1250
 
不受影响系统
 
危害
远程攻击者可以利用漏洞读取系统本地文件。
 
攻击所需条件
攻击者必须访问Trend Micro Control Manager。
 
漏洞信息
Trend Micro Control Manager(TMCM)是趋势科技提供的集中安全管理控制台,可以对趋势科技产品与服务进行统一协调。
通过"module"参数传递给WebApp/widget/proxy_request.php脚本的输入在用于读取文件之前缺少校验,攻击者通过目录遍历序列可读取本地资源中的任意文件。
 
 
测试方法
 
厂商解决方案
用户可下载使用供应商提供的hotfix 1470补丁来修复此漏洞:
http://www.trendmicro.com/en/products/management/tmcm/evaluate/overview.htm
 
漏洞提供者
Sow Ching Shiong

发表评论?

0 条评论。

发表评论