中危 reportbug-ng,reportbug 代码执行漏洞

CVE编号

CVE-2008-2230

利用情况

暂无

补丁情况

官方补丁

披露时间

2008-06-11

漏洞描述

（1）reportbug 3.8和3.31和（2）0.2008.06.04之前的reportbug-ng中的不可信搜索路径漏洞允许本地用户通过当前工作目录中的恶意模块文件执行任意代码。

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=484311
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=484474
https://exchange.xforce.ibmcloud.com/vulnerabilities/43001

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	reportbug-ng	reportbug	3.31	-
	运行在以下环境
	应用	reportbug-ng	reportbug	3.8	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.10	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.11	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.13	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.14	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.15	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.17	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.19	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.19.2	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.20	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.24	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.27	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.28	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.03.29	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.04.07	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.04.07.2	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.04.13	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.04.16	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.04.20	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.04.23	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.04.27	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.05.02	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.05.27	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.05.28	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.05.31	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.06.13	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.06.27	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.07.08	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.07.12	-
	运行在以下环境
	应用	reportbug-ng	reportbug-ng	0.2007.07.18	-
	运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2007.07.19	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2007.08.02	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2007.08.03	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2007.08.03.2	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2007.08.12	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2007.08.20	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2007.10.30	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2008.01.20	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2008.03.26	-
运行在以下环境
应用	reportbug-ng	reportbug-ng	0.2008.03.28	-
运行在以下环境
系统	debian_10	reportbug	*		Up to (excluding) 3.41
运行在以下环境
系统	debian_11	reportbug	*		Up to (excluding) 3.41
运行在以下环境
系统	debian_12	reportbug	*		Up to (excluding) 3.41
运行在以下环境
系统	debian_sid	reportbug	*		Up to (excluding) 3.41

阿里云评分 4.0

• 攻击路径 本地
• 攻击复杂度 困难
• 权限要求 管控权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-94	对生成代码的控制不恰当（代码注入）

Exp相关链接

- avd.aliyun.com