Virtual Vertex Muster Web接口目录遍历漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Virtual Vertex Muster 6.1.6

不受影响系统
Virtual Vertex Muster 6.20

危害
远程攻击者利用漏洞以WEB权限查看系统文件内容。

攻击所需条件
攻击者必须访问Virtual Vertex Muster WEB接口。

漏洞信息
Virtual Vertex Muster是一款多媒体渲染软件。
Virtual Vertex Muster提供的WEB接口存在目录遍历问题,提交类似(\..\..\)的字符,可以WEB权限查看系统文件内容。

测试方法
GET /a\..\..\muster.db HTTP/1.1

厂商解决方案
Virtual Vertex Muster 6.20已经修复此漏洞,建议用户下载使用:
http://www.vvertex.com/index.php

漏洞提供者
Nick Freeman of Security-Assessment.com

发表评论?

0 条评论。

发表评论