Directory Pro 泄露文件内容漏洞

漏洞信息详情

Directory Pro 泄露文件内容漏洞

• CNNVD编号：CNNVD-200110-101
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2001-0780
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2001-05-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  cosmicperl
• 漏洞来源：

CVE(CAN) ID： CAN-2001-0780

Webdirectory Pro 是 Cosmicperl 开发的web 应用程序。它是一个 CGI 脚本，脚本名为directorypro.cgi。

Webdirectory Pro 对用户输入没有作很好的检查，存有漏洞。这使得敏感信息可能会泄露给攻击者。问题的原因是该脚本对 show变量没有作合适的检查，对用户输入数据中的 NULL 字节缺乏检查。结果是可以输出任何 web 服务器可读的文件的内容。

＜* 来源：Marshal (marshal@marshal-soft.com) *＞

临时解决方法：

CNNVD建议您采用适当的方法对 web 请求进行 过滤，滤去诸如 “../”、%00 之类的字符。

厂商补丁：

目前厂商还没有提供补丁或者升级程序。我们建议使用此软件的用户随时关注厂商站点以获取最新版本：

http://www.cosmicflame.com/scripts/dirpro.shtml

来源: BID
名称: 2793
链接:http://www.securityfocus.com/bid/2793

来源: BUGTRAQ
名称: 20010527 directorypro.cgi , directory traversal
链接:http://www.securityfocus.com/archive/1/187182