»нклюдинг локальных файлов в Xaraya

ƒата публикации:
02.12.2005
ƒата изменени€:
24.03.2009
¬сего просмотров:
2282
ќпасность:
—редн€€
Ќаличие исправлени€:
ƒа
 оличество у€звимостей:
1
CVSSv2 рейтинг:
CVE ID:
Ќет данных
¬ектор эксплуатации:
”даленна€
¬оздействие:
ќтказ в обслуживании
–аскрытие важных данных
Ќеавторизованное изменение данных
CWE ID:
Ќет данных
Ќаличие эксплоита:
Ќет данных
”€звимые продукты:
Xaraya 1.x
”€звимые версии: Xaraya 1.0.0 RC4 и более ранние версии

ќписание:
1. ”€звимость позвол€ет удаленному пользователю получить доступ к потенциально важным данным на системе и вызвать отказ в обслуживании системы.

”€звимость существует при обработке входных данных в параметре "module" сценари€ "index.php". ”даленный пользователь может с помощью специально сформированного URL просмотреть произвольные файлы на системе. ѕример:

http://[target]/[path_to_xaraya]/index.php?module=../../../../../.htaccess http://[target]/[path_to_xaraya]/index.php?module=../../../../.key.php

2. ”даленный пользователь может перезаписать произвольные файлы на системе с помощью специально сформированного URL, содержащего нулевой символ. ѕример:

http://[target]/[path_to_xaraya]/index.php?module=../../../../config.system.php%00

3. ”даленный пользователь может, также, создавать пустые директории и выполнить действи€, которые могут привести у отказу в обслуживании.

URL производител€: www.xaraya.com

–ешение: ”становите последнюю версию с сайта производител€.

»сточник:

∆урнал изменений:
24.03.2009
»зменена секци€ "–ешение"

—сылки: Xaraya <= 1.0.0 RC4 D.O.S / file corruption

или введите им€

CAPTCHA