| CNNVD-ID编号 | CNNVD-200608-092 |
| CVE编号 | CVE-2006-4011 |
| 发布时间 | 2006-08-07 |
| 更新时间 | 2006-08-09 |
| 漏洞类型 | 输入验证 |
| 漏洞来源 | beford xbefordx@gmail.com |
| 危险等级 | 低危 |
| 威胁类型 | 远程 |
| 厂 商 | kayako |
Kayako eSupport是基于Web的后台技术支应用程序。
Kayako eSupport对用户请求的处理上存在输入验证漏洞,远程攻击者可能利用此漏洞在服务器上以Web进程权限执行任意命令。
Kayako eSupport的esupport/admin/autoclose.php脚本没有正确的过滤subd变量参数的输入,允许攻击者通过包含本地或外部资源导致执行任意代码。
相关的漏洞代码如下:
require_once $subd . \"functions.php\";
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.kayako.com/
来源: BID
名称: 19315
来源: SECUNIA
名称: 21330
来源: MILW0RM
名称: 2115