Доступ к произвольным файлам и раскрытие информации в 602Pro LAN Suite

Дата публикации:
29.09.2003
Всего просмотров:
811
Опасность:
Критическая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Уязвимые версии: 602Pro LAN Suite 2003.0.3.0828

Описание: Несколько уязвимостей обнаружено в прокси сервере 602Pro LAN Suite. Удаленный авторизованный пользователь может просматривать произвольные файлы на системе. Удаленный авторизованный пользователь может получить информацию об Webmail пользователях.

Программное обеспечение не проверяет правильность 'GetFile' запросов в сценарии m602cl3w.exe. В результате удаленный авторизованный пользователь может просматривать произвольные файлы (в т.ч. почтовые сообщения других пользователей) на системе с привилегиями Web сервера.

Пример/Эксплоит:

http://[target]/mail/m602cl3w.exe?A=GetFile&U=7921604D7A587937986E24242C0588&DL=0& FN=../../../boot.ini
В параметре U представлен ID удаленного авторизованного пользователя.

URL производителя:http://www.software602.com/

Решение: Установите соответствующее обновление: http://download3.software602.com/ls2003.exe

Ссылки: 602Pro Lansuite 2003 - Multiple Vulnerabilities

или введите имя

CAPTCHA