Обход каталога и выполнение команд в Barracuda Spam Firewall

Дата публикации:
05.09.2005
Дата изменения:
28.05.2008
Всего просмотров:
970
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2005-2847
CVE-2005-2848
CVE-2005-2849
Вектор эксплуатации:
Локальная сеть
Воздействие:
Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Barracuda Spam Firewall
Уязвимые версии: Barracuda Spam Firewall версии до 3.1.18

Описание:
Уязвимость позволяет удаленному пользователю просмотреть произвольные файлы и выполнить произвольные команды на целевой системе.

Обход каталога возможет из-за недостаточной обработки входных данных в параметре ‘f’ сценария '/cgi-bin/img.pl'. Удаленный пользователь может с помощью специально сформированного URL, содержащего символы обхода каталога просмотреть произвольные файлы и выполнить произвольные команды на системе. Примеры:

http://[target]:8000/cgi-bin/img.pl?f=../home/
emailswitch/code/ config/current.conf

http://[target]:8000/cgi-bin/img.pl?f=../bin/ls|

URL производителей: www.barracudanetworks.com

Решение: Установите последнюю версию (3.1.18) с сайта производителя.

Ссылки: Directory Traversal and Remote Execution vulnerability exist in Barracuda Spam Firewall

или введите имя

CAPTCHA