Дата публикации: | 05.01.2002 |
Дата изменения: | 17.10.2006 |
Всего просмотров: | 1130 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Zml.cgi - perl сценарий, использующийся для поддержки SSI, включая директивы под Apache.
Сценарий признает простой набор команд, и позволяет доступ к cgi параметрам и переменным среды. Он может работать на Linux и Unix системах или любой другой платформе с поддержкой Perl и Apache. Zml.cgi принимает как параметр файл, анализируя его для этих SSI директив. Этот параметр уязвим к обходу директорий, при добавлении в конец последовательности ‘../’. Хотя сценарий пытается добавлять в конец расширение .zml к попытке доступа к любому файлу, но, добавляя в конец нулевой байт к параметру имени файла, достаточно обойти это ограничение. Уязвимость найдена в Abe Timmerman zml.cgi Пример: |
Ссылки: | Источник |
|
http://www.jero.cc/zml/test.zml |