Дата публикации: | 15.02.2002 |
Дата изменения: | 17.10.2006 |
Всего просмотров: | 1103 |
Опасность: | |
Наличие исправления: | |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | |
Воздействие: | |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | |
Описание: | Falcon Web Server – Web сервер с поддержкой ISAPI и WinCGI для Microsoft Windows.
Falcon Web Server поддерживает отображение виртуальных каталогов и позволяет администратору сервера использовать опознавательную схему для защиты содержания этих каталогов. Из-за проблемы в синтаксическом анализе запросов, сделанных к таким каталогам, возможно обойти эту опознавательную схему и обратиться к любому файлу в защищенном каталоге без ввода каких либо опознавательных данных. Это может быть выполнено путем добавления дополнительного backslash в начале виртуального пути. Например, сервер требует идентификации при обращении к каталогу 'test'. Прямой запрос к этому каталогу без надлежищих идентификационных данных, возвратит 401 ошибку (Unauthorized error). Однако запрос 'http://server//test/', позволит пользователю доступ к каталогу без какой либо аутентификации. Уязвимость найдена в Web Server builds 2.0.0.1009-2.0.0.1020 |
Ссылки: | http://www.blueface.com/ |