漏洞信息详情
Directory Pro 泄露文件内容漏洞
- CNNVD编号:CNNVD-200110-101 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2001-0780
- 漏洞类型: 路径遍历
- 发布时间: 2001-05-28
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: cosmicperl
- 漏洞来源:
-
漏洞简介
CVE(CAN) ID: CAN-2001-0780 Webdirectory Pro 是 Cosmicperl 开发的web 应用程序。它是一个 CGI 脚本,脚本名为directorypro.cgi。 Webdirectory Pro 对用户输入没有作很好的检查,存有漏洞。这使得敏感信息可能会泄露给攻击者。问题的原因是该脚本对 show变量没有作合适的检查,对用户输入数据中的 NULL 字节缺乏检查。结果是可以输出任何 web 服务器可读的文件的内容。 <* 来源:Marshal ([email protected]) *>
漏洞公告
临时解决方法: CNNVD建议您采用适当的方法对 web 请求进行 过滤,滤去诸如 "../"、%00 之类的字符。 厂商补丁: 目前厂商还没有提供补丁或者升级程序。我们建议使用此软件的用户随时关注厂商站点以获取最新版本: http://www.cosmicflame.com/scripts/dirpro.shtml
参考网址
来源: BID 名称: 2793 链接:http://www.securityfocus.com/bid/2793 来源: BUGTRAQ 名称: 20010527 directorypro.cgi , directory traversal 链接:http://www.securityfocus.com/archive/1/187182
受影响实体
- Cosmicperl Directory_pro:2.0<!--2000-1-1-->
补丁
暂无
还没有评论,来说两句吧...