PerlCal远程目录遍历漏洞

漏洞信息详情

PerlCal远程目录遍历漏洞

漏洞简介

PerlCal是Acme Software开发的CGI脚本,提供基于WEB的日历功能。
PerlCal脚本存在漏洞,没有很好检查用户输入的数据,远程攻击者可以利用\”../\”技术遍历WEB根目录之外的其他目录,仅受WEB服务当前所拥有用户权限的限制。通常情况下,WEB服务以nobody用户身份运行。

漏洞公告

临时解决方法:
如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:

* 暂时用chmod 000去除PerlCal的执行权限。
厂商补丁:
Acme Software
————-
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.perlcal.com/” target=”_blank”>
http://www.perlcal.com/

参考网址

来源: BID
名称: 2663
链接:http://www.securityfocus.com/bid/2663

来源: BUGTRAQ
名称: 20010427 PerlCal (CGI) show files vulnerability
链接:http://archives.neohapsis.com/archives/bugtraq/2001-04/0506.html

来源: XF
名称: perlcal-calmake-directory-traversal(6480)
链接:http://xforce.iss.net/static/6480.php

来源: www.perlcal.com
链接:http://www.perlcal.com/calendar/docs/bugs.txt

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享