开放办公室到PDF转换构成了PWNage风险以归档转换实用程序
更新网络beplay体育能用吗安全漏洞对在线文件转换公用事业公司的内部系统构成严重威胁Zamzar已经解决了。
安全研究人员在进攻安全咨询公司Bishop Fox的安全研究人员中发现的安全缺陷,该缺陷在Zamzar的应用程序编程接口(API)上被罐装。
福克斯主教发现服务器端请求伪造(SSRF)当技术被用于将开放式ODT文件转换为PDF时,漏洞就发挥了作用。
“此漏洞执行了嵌入ODT文件中的恶意XML内容,并允许在转换过程中将远程和本地对象的内容插入PDF中”技术文章周四出版的福克斯主教的安全缺陷解释说。
福克斯主教向Zamzar报告了这一问题,Zamzar迅速采取行动,以在两天内插入安全漏洞。这也一样,因为脆弱性的潜在影响很严重。
Bishop Fox解释说:“这种漏洞允许SSRF和本地文件包含(LFI)作为根用户。”“通过在Zamzar的服务器上进行完整的阅读访问,攻击者可以窃取键或源代码等敏感信息。”
n
福克斯主教的安全顾问克里斯·弗拉纳根(Chris Flanagan)告诉每日swbeplay2018官网ig漏洞“相当容易”。
他解释说:“专门精心制作的OpenOffice文件已上传到第三方Web应用程序。”beplay体育能用吗“该Web应beplay体育能用吗用程序利用Zamzar API将OpenOffice文档转换为PDF,并这样做包括Zamzar的API服务器中的文件内容。”
福克斯主教在对客户的Web应用程序上进行渗透测试的过程中发现了漏洞。beplay体育能用吗
Zamzar的CTO Chris Whyley告诉每日swbeplay2018官网ig在Bishop Fox发现之前,没有对脆弱性的恶意剥削。
Whyley解释说:“我们在Zamzar中非常重视这样的安全问题,并感谢Bishopfox负责任地发现和报告这种脆弱性。我们的团队迅速努力解决该问题,并在第一份报告的48小时内完成了问题。。
“随后对我们系统的审核表明,该问题没有影响Zamzar或客户数据。”
Zamzar是一种在线文件转换服务,可以转换1100多个文件格式,包括文档,图像,视频和音频。beplay体育能用吗Web开发人员在构建其Web应用程序时可以使用Zamzar服务。
当用户将文件上传到Web应用程序时,该Web应用程序可以使用Zabeplay体育能用吗mzar API将其转换为Web开发人员所需的格式。
这个故事已被更新,以添加福克斯主教的克里斯·弗拉纳根(Chris Flanagan)和扎姆萨(Zamzar)的评论。
阅读更多DigDash修复了SSRF缺陷
