正文

Technote 'filename'变量导致文件泄露漏洞

admin
admin V管理员 /0 评论 /8 阅读
1230
此篇文章发布距今已超过1278天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Technote 'filename'变量导致文件泄露漏洞

  • CNNVD编号:CNNVD-200102-050
    • <!--
  • 危害等级: 中危-->
  • 危害等级: 中危
  • CVE编号: CVE-2001-0075
  • 漏洞类型: 输入验证
  • 发布时间: 2000-12-27
  • 威胁类型: 远程
  • 更新时间: 2005-10-20
  • 厂        商: technote_inc
  • 漏洞来源: Ksecurity※ ksecuri...

漏洞简介

Technote是韩国的Technote公司( http://www.technote.co.kr )开发的BBS系统。 此BBS实现上存在一个输入验证漏洞,远程攻击者可能利用此漏洞读取服务器上的任意文件。 其中一个脚本main.cgi接受一个名为\"filename\"的参数。该变量的值由远程提供,并被作为文件名传递给open( )函数,但它并未检查其中的\"../\"串。结果,恶意的远程用户可以察看系统中Web服务器进程能够读取的任何文件。这可能泄漏敏感信息并有助于进一步攻击受害主机。

漏洞公告

厂商补丁: Technote -------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.technote.co.kr

参考网址

来源: BID 名称: 2156 链接:http://www.securityfocus.com/bid/2156 来源: BUGTRAQ 名称: 20001227 [Ksecurity Advisory] main.cgi in technote 链接:http://www.securityfocus.com/archive/1/153212

受影响实体

  • Technote_inc Technote:2000  
    <!--
    2000-1-1
    -->
  • Technote_inc Technote:2001  
    <!--
    2000-1-1
    -->
  • Technote_inc Technote:Pro  
    <!--
    2000-1-1
    -->

补丁

    暂无