Security Lab

Раскрытие информации в крупных Web порталах, использующих Texis

Дата публикации:08.02.2002
Всего просмотров:1104
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость, найденная в Texis, который позволяет злонамеренному пользователю рассматривать полный путь к web корню.

Если пользователь, представляет HTTP запрос о недопустимом пути, сервер возвратит страницу ошибки, содержащую путь к web корню. В дополнение к раскрытию пути в корне web, может быть показана системная информация. Программой пользуются многие Web порталы: zdnet, ebay, Washington Post.

Уязвимость найдена в Thunderstone Texis 3.0

Пример:

ZDNet
http://hotfiles.zdnet.com/cgi-bin/texis/phine

eBay http://search.ebay.com/cgi-bin/texis/phine

RSA Security http://www.rsasecurity.com/programs/texis.exe/phine

Dogpile Search Engine http://dpcatalog.dogpile.com/texis/websearch/phine

Washington Post http://adsite.washpost.com/cgi-bin/texis.exe/phine

California Dept. of Education http://inet5.cde.ca.gov/scripts/texis.exe/phine

Ссылки: Источник