ZendTo访问控制漏洞

CVE编号

CVE-2020-8984

利用情况

暂无

补丁情况

N/A

披露时间

2020-03-25

漏洞描述

ZendTo是一套基于Web的文件传输系统。 ZendTo 5.22-2 Beta之前版本中的lib/NSSDropbox.php文件存在安全漏洞。攻击者可借助 X-Forwarded-For报头利用该漏洞伪造IP地址。

解决建议

厂商已发布了漏洞修复程序，请及时关注更新：https://zend.to/changelog.php

参考链接
http://jul.es/pipermail/zendto/2020-January/003845.html
https://zend.to/changelog.php

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	zend	zendto	3.10	-
	运行在以下环境
	应用	zend	zendto	3.11	-
	运行在以下环境
	应用	zend	zendto	3.12	-
	运行在以下环境
	应用	zend	zendto	3.13	-
	运行在以下环境
	应用	zend	zendto	3.20	-
	运行在以下环境
	应用	zend	zendto	3.51	-
	运行在以下环境
	应用	zend	zendto	3.52	-
	运行在以下环境
	应用	zend	zendto	3.53	-
	运行在以下环境
	应用	zend	zendto	3.54	-
	运行在以下环境
	应用	zend	zendto	3.55	-
	运行在以下环境
	应用	zend	zendto	3.56-2	-
	运行在以下环境
	应用	zend	zendto	3.57	-
	运行在以下环境
	应用	zend	zendto	3.58	-
	运行在以下环境
	应用	zend	zendto	3.59	-
	运行在以下环境
	应用	zend	zendto	3.60	-
	运行在以下环境
	应用	zend	zendto	3.61	-
	运行在以下环境
	应用	zend	zendto	3.62	-
	运行在以下环境
	应用	zend	zendto	3.63	-
	运行在以下环境
	应用	zend	zendto	3.64	-
	运行在以下环境
	应用	zend	zendto	3.65	-
	运行在以下环境
	应用	zend	zendto	3.70-2	-
	运行在以下环境
	应用	zend	zendto	3.71	-
	运行在以下环境
	应用	zend	zendto	3.72	-
	运行在以下环境
	应用	zend	zendto	3.73	-
	运行在以下环境
	应用	zend	zendto	3.74	-
	运行在以下环境
	应用	zend	zendto	3.75	-
	运行在以下环境
	应用	zend	zendto	3.90	-
	运行在以下环境
	应用	zend	zendto	3.91	-
	运行在以下环境
	应用	zend	zendto	3.92	-
	运行在以下环境
	应用	zend	zendto	3.93	-
	运行在以下环境
	应用	zend	zendto	3.94	-
	运行在以下环境
应用	zend	zendto	4.00	-
运行在以下环境
应用	zend	zendto	4.01	-
运行在以下环境
应用	zend	zendto	4.02	-
运行在以下环境
应用	zend	zendto	4.03-3	-
运行在以下环境
应用	zend	zendto	4.05-2	-
运行在以下环境
应用	zend	zendto	4.06-2	-
运行在以下环境
应用	zend	zendto	4.07-1	-
运行在以下环境
应用	zend	zendto	4.08-4	-
运行在以下环境
应用	zend	zendto	4.09-1	-
运行在以下环境
应用	zend	zendto	4.10-4	-
运行在以下环境
应用	zend	zendto	4.10-5	-
运行在以下环境
应用	zend	zendto	4.11-1	-
运行在以下环境
应用	zend	zendto	4.11-10	-
运行在以下环境
应用	zend	zendto	4.11-11	-
运行在以下环境
应用	zend	zendto	4.11-12	-
运行在以下环境
应用	zend	zendto	4.11-13	-
运行在以下环境
应用	zend	zendto	4.11-14	-
运行在以下环境
应用	zend	zendto	4.11-2	-
运行在以下环境
应用	zend	zendto	4.11-3	-
运行在以下环境
应用	zend	zendto	4.11-4	-
运行在以下环境
应用	zend	zendto	4.11-5	-
运行在以下环境
应用	zend	zendto	4.11-7	-
运行在以下环境
应用	zend	zendto	4.11-8	-
运行在以下环境
应用	zend	zendto	4.11-9	-
运行在以下环境
应用	zend	zendto	4.12-5	-
运行在以下环境
应用	zend	zendto	4.12-6	-
运行在以下环境
应用	zend	zendto	4.13-1	-
运行在以下环境
应用	zend	zendto	4.20-2	-
运行在以下环境
应用	zend	zendto	4.20-3	-
运行在以下环境
应用	zend	zendto	4.20-5	-
运行在以下环境
应用	zend	zendto	4.20-6	-
运行在以下环境
应用	zend	zendto	4.20-7	-
运行在以下环境
应用	zend	zendto	4.25-3	-
运行在以下环境
应用	zend	zendto	4.27-1	-
运行在以下环境
应用	zend	zendto	4.27-2	-
运行在以下环境
应用	zend	zendto	4.27-4	-
运行在以下环境
应用	zend	zendto	4.27-5	-
运行在以下环境
应用	zend	zendto	4.27-6	-
运行在以下环境
应用	zend	zendto	4.27-7	-
运行在以下环境
应用	zend	zendto	4.28-1	-
运行在以下环境
应用	zend	zendto	4.28-2	-
运行在以下环境
应用	zend	zendto	5.00-1	-
运行在以下环境
应用	zend	zendto	5.00-2	-
运行在以下环境
应用	zend	zendto	5.01-5	-
运行在以下环境
应用	zend	zendto	5.02-5	-
运行在以下环境
应用	zend	zendto	5.03-1	-
运行在以下环境
应用	zend	zendto	5.04-7	-
运行在以下环境
应用	zend	zendto	5.09-13	-
运行在以下环境
应用	zend	zendto	5.10-1	-
运行在以下环境
应用	zend	zendto	5.10-2	-
运行在以下环境
应用	zend	zendto	5.11-1	-
运行在以下环境
应用	zend	zendto	5.11-2	-
运行在以下环境
应用	zend	zendto	5.11-3	-
运行在以下环境
应用	zend	zendto	5.11-4	-
运行在以下环境
应用	zend	zendto	5.11-5	-
运行在以下环境
应用	zend	zendto	5.11-6	-
运行在以下环境
应用	zend	zendto	5.12-3	-
运行在以下环境
应用	zend	zendto	5.12-4	-
运行在以下环境
应用	zend	zendto	5.12-6	-
运行在以下环境
应用	zend	zendto	5.12-7	-
运行在以下环境
应用	zend	zendto	5.12-8	-
运行在以下环境
应用	zend	zendto	5.13-1	-
运行在以下环境
应用	zend	zendto	5.13-2	-
运行在以下环境
应用	zend	zendto	5.14-2	-
运行在以下环境
应用	zend	zendto	5.14-5	-
运行在以下环境
应用	zend	zendto	5.15-1	-
运行在以下环境
应用	zend	zendto	5.16-1	-
运行在以下环境
应用	zend	zendto	5.16-4	-
运行在以下环境
应用	zend	zendto	5.16-5	-
运行在以下环境
应用	zend	zendto	5.16-7	-
运行在以下环境
应用	zend	zendto	5.16-8	-
运行在以下环境
应用	zend	zendto	5.16.6	-
运行在以下环境
应用	zend	zendto	5.17-1	-
运行在以下环境
应用	zend	zendto	5.17-2	-
运行在以下环境
应用	zend	zendto	5.17-3	-
运行在以下环境
应用	zend	zendto	5.17-4	-
运行在以下环境
应用	zend	zendto	5.17-5	-
运行在以下环境
应用	zend	zendto	5.17-6	-
运行在以下环境
应用	zend	zendto	5.18-1	-
运行在以下环境
应用	zend	zendto	5.18-2	-
运行在以下环境
应用	zend	zendto	5.19-1	-
运行在以下环境
应用	zend	zendto	5.20-1	-
运行在以下环境
应用	zend	zendto	5.20-2	-
运行在以下环境
应用	zend	zendto	5.20-3	-
运行在以下环境
应用	zend	zendto	5.20-5	-
运行在以下环境
应用	zend	zendto	5.20-6	-
运行在以下环境
应用	zend	zendto	5.20-7	-
运行在以下环境
应用	zend	zendto	5.20-8	-
运行在以下环境
应用	zend	zendto	5.20-9	-
运行在以下环境
应用	zend	zendto	5.21-1	-
运行在以下环境
应用	zend	zendto	5.21-2	-
运行在以下环境
应用	zend	zendto	5.22-1	-

CVSS3评分 7.5

• 攻击路径 网络
• 攻击复杂度 低
• 权限要求 无
• 影响范围 未更改
• 用户交互 无
• 可用性 无
• 保密性 无
• 完整性 高

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CWE-ID	漏洞类型
CWE-346	源验证错误

Exp相关链接

- avd.aliyun.com