>
Tryton 命令注入漏洞
Tryton 命令注入漏洞
| CNNVD-ID编号 | CNNVD-201804-616 | CVE编号 | CVE-2014-6633 |
| 发布时间 | 2018-04-12 | 更新时间 | 2018-08-03 |
| 漏洞类型 | 命令注入 | 漏洞来源 | N/A |
| 危险等级 | 超危 | 威胁类型 | 远程 |
| 厂商 | tryton | ||
漏洞介绍
Tryton是一套基于Python和PostgreSQL的通用应用平台,它是OpenERP(企业资源计划ERP和客户关系管理CRM系统)的一个独立分支项目,包含了财务管理、营销管理、客户关系管理等模块,可用于创建企业资源计划系统。
Tryton中的‘safe_eval’函数存在命令注入漏洞。远程攻击者可借助collection.domain(位于webdav模块)或formula字段(位于price_list模块)中的shell元字符利用该漏洞执行任意命令。以下版本受到影响:Tryton 2.4.15之前版本, 2.6.14之前的2.6.x版本,2.8.11之前的2.8.x版本,3.0.7之前的3.0.x版本,3.2.3之前的3.2.x版本。
漏洞补丁
目前厂商已发布升级了Tryton 命令注入漏洞的补丁,Tryton 命令注入漏洞的补丁获取链接:
http://www.tryton.org/posts/security-release-for-issue4155.html
参考网址
来源:www.tryton.org
链接:http://www.tryton.org/posts/security-release-for-issue4155.html
受影响实体
Tryton Tryton:3.2.2 Tryton Tryton:3.2.0 Tryton Tryton:3.2.1 Tryton Tryton:3.0.6 Tryton Tryton:3.0.4信息来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201804-616
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论