雅虎通 ActiveX控件GetFile方式任意文件上传漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2008-04-12
雅虎通 ActiveX控件GetFile方式任意文件上传漏洞 受影响系统:
Yahoo! Messenger 8.1.421

描述:
雅虎通是一款非常流行的即时通讯工具。

雅虎通的CYFT ActiveX控件实现上存在漏洞,远程安全者可能利用此漏洞向用户系统上传任意文件。

CYFT ActiveX控件的GetFile()方式没有对用户提交的参数做充分的检查过滤,远程安全者可以通过提供畸形参数向用户系统的任意位置上传任意文件,但是相关的控件默认情况下不能远程调用。

建议:
升级到最新版本:http://messenger.yahoo.com/