发布日期：2012-09-17
更新日期：2012-09-18

受影响系统：

Oracle Business Transaction Management (BTM) 12.x

描述：

---

Oracle Business Transaction Management (BTM)是一款对分布式、模块化的组合应用程序中的业务事务进行端到端管理的软件。

Oracle Business Transaction Management 12.1.0.7及其他版本传递到FlashTunnelService SOAP接口内"writeToFile()"方法的输入没有正确验证即用于存储文件，通过目录遍历序列可上传任意文件。

<*来源：Andrea Micalizzi aka rgod
  
  链接：http://secunia.com/advisories/50642/
        http://www.exploit-db.com/exploits/20318/
*>

建议：

---

厂商补丁：

Oracle
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oracle.com/technetwork/topics/security/

浏览次数：3524
严重程度：0（网友投票）