Раскрытие информации в PerlDesk

Дата публикации:16.09.2004
Всего просмотров:968
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2005-0343
CVE-2004-1677
CVE-2004-1678
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Раскрытие системных данных
Неавторизованное изменение данных
Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: PerlDesk 1.x
Уязвимые версии: PerlDesk

Описание: Уязвимость обнаружена в PerlDesk. Удаленный пользователь может получить системную информацию.

Сценарий 'pdesk.cgi' не фильтрует пользовательские данные в lang параметре. В результате удаленный пользователь может представить специально обработанный URL, чтобы заставить систему отобразить сообщение об ошибке, которые может включать некоторую системную информацию.

Пример/Эксплоит:

http://[target]/cgi-bin/pdesk.cgi?lang=h4x0rs%20Rul3z
http://[target]/cgi-bin/pdesk.cgi?lang=../../../../../../../proc/vers ion%00

URL производителя: http://www.perldesk.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Posible Inclusion File in Perl Desk