高危 Smarty远程任意代码执行漏洞

CVE编号

CVE-2014-8350

利用情况

暂无

补丁情况

官方补丁

披露时间

2014-11-04
漏洞描述
smarty是一个基于PHP开发的PHP模板引擎。

Smarty存在任意代码执行漏洞。攻击者可以在应用程序上下文任意代码。
解决建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://smarty.php.net/
参考链接
http://advisories.mageia.org/MGASA-2014-0468.html
http://seclists.org/oss-sec/2014/q4/420
http://seclists.org/oss-sec/2014/q4/421
http://www.mandriva.com/security/advisories?name=MDVSA-2014:221
http://www.securityfocus.com/bid/70708
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=765920
https://code.google.com/p/smarty-php/source/browse/trunk/distribution/change_...
https://exchange.xforce.ibmcloud.com/vulnerabilities/97725
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 smarty smarty * Up to
(including)
3.1.20
运行在以下环境
应用 smarty smarty 1.0 -
运行在以下环境
应用 smarty smarty 1.0a -
运行在以下环境
应用 smarty smarty 1.0b -
运行在以下环境
应用 smarty smarty 1.1.0 -
运行在以下环境
应用 smarty smarty 1.2.0 -
运行在以下环境
应用 smarty smarty 1.2.1 -
运行在以下环境
应用 smarty smarty 1.2.2 -
运行在以下环境
应用 smarty smarty 1.3.0 -
运行在以下环境
应用 smarty smarty 1.3.1 -
运行在以下环境
应用 smarty smarty 1.3.2 -
运行在以下环境
应用 smarty smarty 1.4.0 -
运行在以下环境
应用 smarty smarty 1.4.1 -
运行在以下环境
应用 smarty smarty 1.4.2 -
运行在以下环境
应用 smarty smarty 1.4.3 -
运行在以下环境
应用 smarty smarty 1.4.4 -
运行在以下环境
应用 smarty smarty 1.4.5 -
运行在以下环境
应用 smarty smarty 1.4.6 -
运行在以下环境
应用 smarty smarty 1.5.0 -
运行在以下环境
应用 smarty smarty 1.5.1 -
运行在以下环境
应用 smarty smarty 1.5.2 -
运行在以下环境
应用 smarty smarty 2.0.0 -
运行在以下环境
应用 smarty smarty 2.0.1 -
运行在以下环境
应用 smarty smarty 2.1.0 -
运行在以下环境
应用 smarty smarty 2.1.1 -
运行在以下环境
应用 smarty smarty 2.2.0 -
运行在以下环境
应用 smarty smarty 2.3.0 -
运行在以下环境
应用 smarty smarty 2.3.1 -
运行在以下环境
应用 smarty smarty 2.4.0 -
运行在以下环境
应用 smarty smarty 2.4.1 -
运行在以下环境
应用 smarty smarty 2.4.2 -
运行在以下环境
应用 smarty smarty 2.5.0 -
运行在以下环境
应用 smarty smarty 2.6.0 -
运行在以下环境
应用 smarty smarty 2.6.1 -
运行在以下环境
应用 smarty smarty 2.6.10 -
运行在以下环境
应用 smarty smarty 2.6.11 -
运行在以下环境
应用 smarty smarty 2.6.12 -
运行在以下环境
应用 smarty smarty 2.6.13 -
运行在以下环境
应用 smarty smarty 2.6.14 -
运行在以下环境
应用 smarty smarty 2.6.15 -
运行在以下环境
应用 smarty smarty 2.6.16 -
运行在以下环境
应用 smarty smarty 2.6.17 -
运行在以下环境
应用 smarty smarty 2.6.18 -
运行在以下环境
应用 smarty smarty 2.6.2 -
运行在以下环境
应用 smarty smarty 2.6.20 -
运行在以下环境
应用 smarty smarty 2.6.22 -
运行在以下环境
应用 smarty smarty 2.6.24 -
运行在以下环境
应用 smarty smarty 2.6.25 -
运行在以下环境
应用 smarty smarty 2.6.26 -
运行在以下环境
应用 smarty smarty 2.6.3 -
运行在以下环境
应用 smarty smarty 2.6.4 -
运行在以下环境
应用 smarty smarty 2.6.5 -
运行在以下环境
应用 smarty smarty 2.6.6 -
运行在以下环境
应用 smarty smarty 2.6.7 -
运行在以下环境
应用 smarty smarty 2.6.9 -
运行在以下环境
应用 smarty smarty 3.0.0 -
运行在以下环境
应用 smarty smarty 3.0.1 -
运行在以下环境
应用 smarty smarty 3.0.2 -
运行在以下环境
应用 smarty smarty 3.0.3 -
运行在以下环境
应用 smarty smarty 3.0.4 -
运行在以下环境
应用 smarty smarty 3.0.5 -
运行在以下环境
应用 smarty smarty 3.0.6 -
运行在以下环境
应用 smarty smarty 3.0.7 -
运行在以下环境
应用 smarty smarty 3.1 -
运行在以下环境
应用 smarty smarty 3.1.0 -
运行在以下环境
应用 smarty smarty 3.1.1 -
运行在以下环境
应用 smarty smarty 3.1.10 -
运行在以下环境
应用 smarty smarty 3.1.11 -
运行在以下环境
应用 smarty smarty 3.1.12 -
运行在以下环境
应用 smarty smarty 3.1.13 -
运行在以下环境
应用 smarty smarty 3.1.14 -
运行在以下环境
应用 smarty smarty 3.1.15 -
运行在以下环境
应用 smarty smarty 3.1.16 -
运行在以下环境
应用 smarty smarty 3.1.17 -
运行在以下环境
应用 smarty smarty 3.1.18 -
运行在以下环境
应用 smarty smarty 3.1.19 -
运行在以下环境
应用 smarty smarty 3.1.2 -
运行在以下环境
应用 smarty smarty 3.1.3 -
运行在以下环境
应用 smarty smarty 3.1.4 -
运行在以下环境
应用 smarty smarty 3.1.5 -
运行在以下环境
应用 smarty smarty 3.1.6 -
运行在以下环境
应用 smarty smarty 3.1.7 -
运行在以下环境
应用 smarty smarty 3.1.8 -
运行在以下环境
应用 smarty smarty 3.1.9 -
运行在以下环境
系统 debian DPKG * Up to
(excluding)
3.1.21-1
运行在以下环境
系统 debian_10 smarty3 * Up to
(excluding)
3.1.21-1
运行在以下环境
系统 debian_11 smarty3 * Up to
(excluding)
3.1.21-1
运行在以下环境
系统 debian_12 smarty3 * Up to
(excluding)
3.1.21-1
运行在以下环境
系统 debian_7 smarty3 * Up to
(excluding)
3.1.10-2+deb7u1
运行在以下环境
系统 fedora_21 php-Smarty * Up to
(excluding)
3.1.21-1.fc21
运行在以下环境
系统 fedora_EPEL_7 php-Smarty * Up to
(excluding)
3.1.21-1.el7
运行在以下环境
系统 ubuntu_16.04.7_lts smarty3 * Up to
(excluding)
3.1.21-1
运行在以下环境
系统 ubuntu_18.04.5_lts smarty3 * Up to
(excluding)
3.1.21-1
运行在以下环境
系统 ubuntu_18.10 smarty3 * Up to
(excluding)
3.1.21-1
阿里云评分
7.1
  • 攻击路径
    远程
  • 攻击复杂度
    容易
  • 权限要求
    无需权限
  • 影响范围
    全局影响
  • EXP成熟度
    N/A
  • 补丁情况
    官方补丁
  • 数据保密性
    数据泄露
  • 数据完整性
    传输被破坏
  • 服务器危害
    无影响
  • 全网数量
    N/A
CWE-ID 漏洞类型
CWE-94 对生成代码的控制不恰当(代码注入)
阿里云安全产品覆盖情况