Redmine redmine_git_hosting插件操作系统命令注入漏洞

CNNVD-ID编号 CNNVD-201412-577
CVE编号 CVE-2013-4663
发布时间 2014-12-27
更新时间 2015-01-04
漏洞类型 操作系统命令注入
漏洞来源 N/A
危险等级 高危
威胁类型 远程
厂 商 redmine

漏洞介绍

Redmine是一套开源的基于Web的项目管理和缺陷跟踪工具,它提供项目管理、问题跟踪和基于角色的访问控制等功能。redmine_git_hosting是其中的一个Git托管插件。

Redmine redmine_git_hosting插件的git_http_controller.rb文件中的‘get_info_refs’和‘file_exists’函数存在安全漏洞。远程攻击者可借助‘service’参数中的shell元字符利用该漏洞执行任意命令。

漏洞补丁

目前厂商已经发布了升级补丁以修复此安全问题,详情请关注厂商主页:

参考网址

  • 暂无

受影响实体

信息来源