Atutor任意文件泄露漏洞(CNVD-2016-05874)
CVE编号
N/A利用情况
暂无补丁情况
N/A披露时间
2016-08-03漏洞描述
ATutor是ATutor团队开发的一套开源的基于Web的学习内容管理系统。 Atutor存在任意文件泄露漏洞。当保存数据信息时,由于"icon" HTTP POST传递到"/mods/_core/courses/users/create_course.php"的脚本,未能充分过滤用户提供的数据,攻击者利用漏洞在用户的图标参数中使用目录遍历序列(例如:“..”)来覆盖它的值,在系统上包含任意文件并查看其内容。解决建议
用户可参考如下供应商提供的安全公告获得补丁信息:https://github.com/atutor/ATutor/releases/tag/atutor_2_2_2
参考链接 |
|
|---|---|
| https://www.cnvd.org.cn/flaw/show/CNVD-2016-05874 |
- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论