Lucene search
K
Database
Vendors
Products
Years
CVSS
Scanner
Agent Scanning
API Scanning
Manual Audit
Perimeter Scanner
Scanning
Projects
Email
Webhook
Plugins
Resources
Documents
Blog
Glossary
FAQ
Pricing
Contacts
About Us
Partners
Branding Guideline
seebugRootSSV:3357
HistoryJun 01, 2008 - 12:00 a.m.

cbrPager文档处理任意命令执行漏洞

2008-06-0100:00:00
Root
www.seebug.org
11
JSON

cbrPager是用C编写的cbr和cbz(连环画文档)文件查看器。

cbrpager在使用system()函数调用内部解压工具unrar和unzip之前没有正确地过滤图形文档的文件名,如果用户受骗打开了带有特制文件名的.zip或.rar文档的话就可能导致以当前用户的权限执行任意指令。

John Coppens cbrPager < 0.9.17
John Coppens

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=“http://sourceforge.net/project/shownotes.php?release_id=601538&amp;group_id=119647” target=“_blank”>http://sourceforge.net/project/shownotes.php?release_id=601538&amp;group_id=119647</a>


                                                test&quot;;echo&nbsp;owned&gt;bla;&quot;.rar
JSON