GIG Technology NV JumpScale Portal 操作系统命令注入漏洞

CNNVD-ID编号	CNNVD-201809-314
CVE编号	CVE-2018-1000666
发布时间	2018-09-07
更新时间	2019-03-13
漏洞类型	操作系统命令注入
漏洞来源	N/A
危险等级	超危
威胁类型	远程
厂商	gig

漏洞介绍

GIG Technology NV JumpScale Portal是一款混合应用程序服务器和Wiki引擎。

GIG Technology NV JumpScale Portal 7 commit 15443122ed2b1cbfd7bdefc048bf106f075becdb之前版本中的method： notifySpaceModification存在操作系统命令注入漏洞，该漏洞源于程序没有正确验证参数。攻击者可利用该漏洞执行命令。

漏洞补丁

目前厂商已发布升级了GIG Technology NV JumpScale Portal 操作系统命令注入漏洞的补丁，GIG Technology NV JumpScale Portal 操作系统命令注入漏洞的补丁获取链接：

https://github.com/jumpscale7/jumpscale_portal/pull/108

参考网址

来源:CONFIRM

链接：https://github.com/jumpscale7/jumpscale_portal/pull/108
来源:MISC

链接：https://github.com/0-complexity/openvcloud/issues/1207
来源:MISC

链接：https://medium.com/@vrico315/vulnerability-in-jumpscale-portal-7-a88098a1caca
来源:MISC

链接：https://github.com/jumpscale7/jumpscale_portal/blob/c997bb1824862b08246d60e34e950df06ebac68c/apps/portalbase/system/system__contentmanager/methodclass/system_contentmanager.py#L293-L315

受影响实体

Gig Jumpscale:7

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201809-314