LogMeIn中cfgadvanced.html页面的HTTP头注入漏洞
来源:岁月联盟
时间:2009-06-10
LogMeIn, Inc. LogMeIn Pro 4.0.784
描述:
LogMeIn是流行的远程访问软件,允许通过网络控制计算机。
LogMeIn的cfgadvanced.html页面存在HTTP头注入漏洞。如果用户受骗跟随了恶意链接并收到了lang参数,LogMeIn会将lang参数值储存在[HKEY_LOCAL_MACHINE/SOFTWARE/LogMeIn/V5/Appearance/Language]注册表中,并在每次点击链接的时候在Content-Language头中使用,因此特制参数可能导致注入并执行任意代码。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
https://secure.logmein.com/home.asp?lang=en
