Доступ к произвольным файлам на системе в Apache Cocoon

Дата публикации:
27.10.2003
Дата изменения:
17.10.2006
Всего просмотров:
1100
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Apache Cocoon 2.x
Уязвимые версии: Apache Cocoon version 2.1 before 22 Oct 2003 12:00,Apache Cocoon version 2.2 (Development) before 22 Oct 2003 12:00

Описание: Уязвимость обнаружена в Apache Cocoon. Злонамеренный пользователь может получить доступ к чувствительной информации.

Типовой сценарий "view-source" не проверяет правильность параметра "filename". В результате удаленный пользователь может выполнить нападения обхода каталога, чтобы получить доступ к произвольным файлам на системе.

Пример/Эксплоит:

http://[target]:8888/samples/view-source?filename=../../../boot .ini

URL производителя: http://nagoya.apache.org/bugzilla/show_bug.cgi?id=23949

Решение: Обновленная версия для 2.1 и 2.2 доступна через CVS: http://cocoon.apache.org/mirror.cgi

Ссылки: http://nagoya.apache.org/bugzilla/show_bug.cgi?id=23949

или введите имя

CAPTCHA