当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Horde \'_formvars\'表单输入远程代码执行漏洞

     发表日期:2014-12-08 13:30:52

Horde \'_formvars\'表单输入远程代码执行漏洞

BugTraq-ID:65200

CVE-ID:CVE-2014-1691

发布日期:2014-01-28

更新日期:2014-01-28

受影响系统:

Horde Horde < 5.1.1

详细信息:

Horde Groupware是邮件和通讯解决方案。 Horde 3.1.x-5.1.1版本的Uti库中,framework/Util/lib/Horde/Variables.php在实现上存在远程代码执行漏洞,远程攻击者通过the _formvars表单内构造的序列对象,利用此漏洞可注入对象并执行任意PHP代码。

来源:

vendor

测试方法:

警告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!http://www.securityfocus.com/data/vulnerabilities/exploits/65200.rb http://www.securityfocus.com/data/vulnerabilities/exploits/65200.pl

解决办法:

厂商补丁:

Horde

-----

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://github.com/horde/horde/commit/da6afc7e9f4e290f782eca9dbca794f772caccb3

https://github.com/horde/horde/blob/82c400788537cfc0106b68447789ff53793ac086/bundles/groupware/docs/CHANGES#L215