Bytes Interactive网上商店程序远程文件泄露漏洞

漏洞信息详情

Bytes Interactive网上商店程序远程文件泄露漏洞

• CNNVD编号：CNNVD-200012-130
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2000-0922
  
• 漏洞类型：
  
  

• 发布时间：
  
  2000-10-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-11-28
  
• 厂        商：
  
  bytes_interactive
• 漏洞来源：
  f0bic f0bic@deadpr…

Bytes Interactive公司的Web Shopper是一个基于XML的网上购物应用程序。

Bytes Interactive Web Shopper购物卡程序(shopper.cgi) 2.0和较早的版本中存在目录遍历漏洞。远程攻击者利用该漏洞通过在‘newpage’参数上的‘..’攻击，读取任意文件。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 修改shopper.cgi，注释#$debug=1。这样脚本会检查不安全的相关路径，不会被允许访问任意文件。

厂商补丁：

Bytes Interactive

—————–

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.bytesinteractive.com” target=”_blank”>

http://www.bytesinteractive.com

来源: XF

名称: web-shopper-directory-traversal

链接:http://xforce.iss.net/static/5351.php

来源: BID

名称: 1776

链接:http://www.securityfocus.com/bid/1776

来源: BUGTRAQ

名称: 20001008 Security Advisory: Bytes Interactive’s Web Shopper (shopper.cgi) Directory Traversal Vulnerability

链接:http://archives.neohapsis.com/archives/bugtraq/2000-10/0120.html