Обход директории в zFTPServer

Дата публикации:
13.12.2011
Дата изменения:
13.12.2011
Всего просмотров:
881
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
zFTPServer 6.x
Уязвимые версии: zFTPServer 6.0.0.52, возможно другие версии.

Описание:
Уязвимость позволяет удаленному пользователю осуществить не авторизованное изменение данных на системе.

Уязвимость существует из-за ошибки при обработке "RMD" команды. Удаленный пользователь может с помощью специально сформированной команды, содержащей символы обхода каталогов, удалить корневую директорию FTP сервера.

Для успешной эксплуатации уязвимости злоумышленник должен иметь привилегии на удаление каталогов внутри домашней директории пользователя.

URL производителя: http://www.zftpserver.com/index.php

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://forum.zftpserver.com/viewtopic.php?f=4&t=2927
http://archives.neohapsis.com/archives/fulldisclosure/2011-12/0288.html

или введите имя

CAPTCHA