Доступ к произвольным файлам в DB4Web

Дата публикации:
20.09.2002
Всего просмотров:
624
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
DB4Web
Описание: DB4Web – сервер приложений, который организует доступ для чтения и записи к реляционным базам данных и другим информационным источникам, через Web. Приложение доступно для Windows, Linux, и различных Unix платформ.

В программе обнаружена возможность обхода основного каталога. Уязвимость позволяет атакующему получить неавторизованный доступ к произвольным файлам на уязвимой системе.

Пример:

На windows системе:

http://db4web.server.system/scripts/db4web_c.exe/dbdirname/c%3A%5Cboot.ini На UNIX системе:

http://db4web.server.system/cgi-bin/db4web_c/dbdirname//etc/hosts

уязвимость обнаружена в DB4Web 3.4-3.6

Ссылки: Advisory: File disclosure in DB4Web

или введите имя

CAPTCHA