Доступ к произвольным файлам и межсайтовый скриптинг в GoAhead Web Server

Дата публикации:
12.07.2002
Всего просмотров:
684
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: GoAhead – внедряемый Web сервер с открытым исходным кодом. Обнаруженная уязвимость позволяет удаленному атакующему вставлять произвольный код сценария в страницы ошибки и получать доступ к файлам, находящимся вне корневой web директории.
  1. Cross Site Scripting. Уязвимость позволяет вставлять произвольный javascript код при запросе несуществующего ресурса: GoAhead-server/[SCRIPT]alert(document.domain)/[SCRIPT]
  2. Кодируя символ ‘/’, можно получить доступ к произвольным файлам вне корневой Web директории: GoAhead-server/..%5C..%5C..%5C..%5C..%5C..%5C/winnt/win.ini
Уязвимость обнаружена в GoAhead Web Server version 2.1

Ссылки: GoAhead Web Server Directory Traversal and Cross Site Scripting
или введите имя

CAPTCHA