发布日期：2013-06-07
更新日期：2013-06-07

受影响系统：

Foreman Foreman <= 1.2.0-RC1

描述：

---

BUGTRAQ  ID: 60833
CVE(CAN) ID: CVE-2013-2121

Foreman是可以自动化维护服务器生命周期的管理工具。

Foreman 1.2.0-RC2之前版本中，Bookmarks控制器的create方法存在eval注入漏洞，可以创建书签的远程用户通过控制器名称属性，利用此漏洞可执行任意代码。

<*来源：Ramon de C Valle
  *>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://downloads.securityfocus.com/vulnerabilities/exploits/60833.rb

建议：

---

厂商补丁：

Foreman
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://projects.theforeman.org/issues/2631
https://groups.google.com/forum/#%21topic/foreman-users/6WpO_3ugiXU
http://projects.theforeman.org/issues/2631

浏览次数：1259
严重程度：0（网友投票）