中心编号:NIPC-2007-3583CVE编号:CVE-2007-5826
漏洞级别:紧急
发布日期:2007-11-05
更新日期:2007-11-06
攻击方式:远程
攻击效果:管理员访问权限,未授权的信息泄漏,拒绝服务
漏洞描述:
EDImage.ocx 2.0.2005.1104的EDraw Flowchart ActiveX控件中存在绝对目录遍历漏洞,这将允许远程攻击者通过在HttpDownloadFile方法的第二个参数中设置完整的路径名从而以任意内容创建或覆写任意文件。
受影响系统和软件:
EDraw, Flowchart ActiveX, 2.3, 及其早期版本
参考资源一:
http://xforce.iss.net/xforce/xfdb/38223
参考资源二:
http://www.milw0rm.com/exploits/4598
参考资源三:
http://www.frsirt.com/english/advisories/2007/3710
致谢:
该漏洞由shinnai发现。
