Security Lab

Неавторизованный просмотр удаленного хоста через DB4Web

Дата публикации:20.09.2002
Всего просмотров:1318
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: DB4Web
Описание: DB4Web – сервер приложений, который организует доступ для чтения и записи к реляционным базам данных и другим информационным источникам, через Web. Приложение доступно для Windows, Linux, и различных Unix платформ.

Запрашивая специально сконструированный URL, можно инициализировать TCP подключение от уязвимого сервера к удаленному IP адресу и произвольному порту. Сервер произведет страницу отладки, из которой можно определить состояние порта на просматриваемом хосте. Пример:

http://127.0.0.1/DB4Web/172.31.93.30:22/foo

Уязвимость обнаружена в DB4Web 3.4-3.6

Ссылки: Re: Solaris problems?