Vulnerabilidad en RoboHelp Server de Adobe (CVE-2009-3068)
Gravedad CVSS v2.0:
ALTA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
04/09/2009
Última modificación:
09/04/2025
Descripción
Una vulnerabilidad de carga de archivos sin restricciones en el Servlet RoboHelpServer (robohelp/server) en RoboHelp Server de Adobe versión 8, permite a los atacantes remotos ejecutar código arbitrario mediante la carga de un archivo Java Archive (.jsp) durante una acción PUBLISH, y luego, acceder a él por medio de una petición directa al archivo en el directorio robohelp/robo/reserved/web bajo su subdirectorio sessionid, como es demostrado por el módulo vd_adobe en VulnDisco Pack Professional versiones 8.7 hasta 8.11.
Impacto
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:adobe:robohelp_server:8:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://blogs.adobe.com/psirt/2009/09/potential_robohelp_server_8_is.html
- http://intevydis.com/vd-list.shtml
- http://secunia.com/advisories/36467
- http://twitter.com/elegerov/statuses/3727947465
- http://twitter.com/elegerov/statuses/3737538715
- http://twitter.com/elegerov/statuses/3737725344
- http://www.adobe.com/support/security/bulletins/apsb09-14.html
- http://www.intevydis.com/blog/?p=26
- http://www.intevydis.com/blog/?p=69
- http://www.securityfocus.com/archive/1/506687/100/0/threaded
- http://www.securityfocus.com/bid/36245
- http://www.zerodayinitiative.com/advisories/ZDI-09-066
- http://blogs.adobe.com/psirt/2009/09/potential_robohelp_server_8_is.html
- http://intevydis.com/vd-list.shtml
- http://secunia.com/advisories/36467
- http://twitter.com/elegerov/statuses/3727947465
- http://twitter.com/elegerov/statuses/3737538715
- http://twitter.com/elegerov/statuses/3737725344
- http://www.adobe.com/support/security/bulletins/apsb09-14.html
- http://www.intevydis.com/blog/?p=26
- http://www.intevydis.com/blog/?p=69
- http://www.securityfocus.com/archive/1/506687/100/0/threaded
- http://www.securityfocus.com/bid/36245
- http://www.zerodayinitiative.com/advisories/ZDI-09-066