Security Lab

Доступ к произвольным файлам в Linux Cross-Referencing

Дата публикации:14.03.2003
Всего просмотров:1254
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности ввода обнаружена в Linux Cross-Referencing (LXR). Удаленный пользователь может просматривать произвольные файлы на целевой системе.

Программа не фильтрует данные пользователя в переменной 'v'. В результате удаленный пользователь может представить специально обработанный URL, содержащий символы обхода каталога '../’, чтобы получить доступ к произвольным файлам на системе с привилегиями целевого web сервера. Пример:

http://[target]/source?v=../../../../../../../etc/password%00
Уязвимость обнаружена в Linux Cross-Referencing 0.9.2
Ссылки: Cross-Referencing Linux vulnerability