从这张网页截图中获取的关于漏洞的关键信息如下: 漏洞名称: Oracle Endeca Information Discovery Integrator ETL Server RenameFile Remote Code Execution Vulnerability 漏洞编号: - ZDI-15-352 - ZDI-CAN-2775 CVE ID: CVE-2015-2606 CVSS Score: 6.5 (AV:N/AC:L/Au:S/C:P/I:P/A:P) 受影响的供应商: Oracle 受影响的产品: Endeca Tools and Frameworks 漏洞详情: - 此漏洞允许攻击者在Oracle Endeca Information Discovery的易受攻击实例上执行任意代码。 - 访问需要认证,但已知有认证绕过的方法。 - 问题在于处理 RenameFile 端点时未能正确sanitize 文件路径,远程攻击者可利用该漏洞读取服务器配置文件,从而访问系统并获得clover服务器的权限。 额外详情: Oracle已发布修复此漏洞的更新,详情见链接: http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html 披露时间线: - 2015-02-25: 报告给厂商 - 2015-07-20: 协调发布漏洞建议 发现者: Steven Seeley from Source Incite