Security Lab

Просмотр произвольных файлов на системе в SurfControl для Microsoft ISA Server

Дата публикации:25.06.2003
Дата изменения:17.10.2006
Всего просмотров:1595
Опасность:
Низкая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Локальная сеть
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: SurfControl Web Filter for Microsoft ISA Server
Описание: Уязвимость раскрытия информации обнаружена в SurfControl для Microsoft ISA Server. Удаленный пользователь может просматривать произвольные файлы на системе.

Сообщается, что удаленный пользователь может представить специально обработанный запрос, содержащий символы обхода каталога '.../', чтобы просматривать произвольные файлы на ISA сервере. Reports Server доступен по умолчанию. Пример:

http://isa-surfserver:8888/.../... /.../.../winnt/
Уязвимость обнаружена в SurfControl for Microsoft ISA Server 4.2.0.21

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: SurfControl Web Filter for Microsoft ISA Server Vulnerability