Несколько уязвимостей в Web сервере Blazix

Дата публикации:
27.08.2002
Всего просмотров:
997
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Blazix – бесплатный Web сервер, написанный на JAVA, для Linux и Windows платформ. В программе обнаружено 2 уязвимости:

1. Когда пользователь передает запрос о существующем JSP файле, заканчивающийся плюсом(+) или backslash (\), Web сервер раскроит содержание такого файла. Пример:

http://www.example.com/jsptest.jsp+
http://www.example.com/jsptest.jsp\

2. Blazix не в состоянии обработать некоторые символы, добавленные в конец к запросу. Передача таких символов в запросе к Web серверу, позволяет получить содержание защищенной паролем директории. Полученная информация может использоваться в дальнейших нападениях. Пример:

http://www.example.com/bugtest+/
http://www.example.com/bugtest\/

уязвимость обнаружена в Desiderata Software Blazix 1.2-1.2.1

или введите имя

CAPTCHA