RealPage Module ActiveX Controls Upload ActiveX控件信息泄露漏洞

CNNVD-ID编号	CNNVD-201010-383
CVE编号	CVE-2010-2584
发布时间	2010-10-28
更新时间	2010-10-28
漏洞类型	权限许可和访问控制
漏洞来源	N/A
危险等级	中危
威胁类型	远程
厂商	realpage

漏洞介绍

RealPage Module ActiveX Controls中的Realpage.dll 1.0.0.9版本中的RealPage Module Upload ActiveX控件中的Upload方法不能正确限制某些属性值。远程攻击者可以借助SourceFile属性中的文件名并结合DestURL属性中的http URL读取任意文件。

漏洞补丁

目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.realpage.com/

参考网址

来源: BID

名称: 44302

链接：http://www.securityfocus.com/bid/44302
来源: OSVDB

名称: 68813

链接：http://www.osvdb.org/68813
来源: secunia.com

链接：http://secunia.com/secunia_research/2010-118/

受影响实体

Realpage Module_activex_controls:1.0.0.9

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201010-383