VULHUB ™

RealPlayer/RealOne是一款由RealNetworks公司提供的用于播放在线音频和视频的软件。 RealPlayer/RealOne存在一个安全问题，远程攻击者可以利用这个漏洞通过使用用户交互的网页诱使用户处理，删除用户系统上的文件。 RealPlayer/RealOne支持私有包递送文件类型，命令为Real Metadata Packages，这些文件包含HTML类型语言，包含各种包和RealPlayer扩展的信息和资源URL。 其中一个支持的包含在RMP文件类型中的标记是＜FILENAME＞标记，这设计用于指向要下载的相关文件，如果下载的文件已经在系统上，那么就会没有警告的删除文件。 通过在文件名中包含多个\'\'../\'\'进行目录遍历，绕过下载目录，指向任意系统文件，可导致由于文件已经存在而被删除。

RealPlayer/RealOne是一款由RealNetworks公司提供的用于播放在线音频和视频的软件。 RealPlayer/RealOne存在一个安全问题，远程攻击者可以利用这个漏洞通过使用用户交互的网页诱使用户处理，删除用户系统上的文件。 RealPlayer/RealOne支持私有包递送文件类型，命令为Real Metadata Packages，这些文件包含HTML类型语言，包含各种包和RealPlayer扩展的信息和资源URL。 其中一个支持的包含在RMP文件类型中的标记是＜FILENAME＞标记，这设计用于指向要下载的相关文件，如果下载的文件已经在系统上，那么就会没有警告的删除文件。 通过在文件名中包含多个\'\'../\'\'进行目录遍历，绕过下载目录，指向任意系统文件，可导致由于文件已经存在而被删除。