Hosting Controller非授权文件访问和上传漏洞

漏洞信息详情

Hosting Controller非授权文件访问和上传漏洞

• CNNVD编号：CNNVD-200208-167
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2002-0465
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2002-01-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  hosting_controller
• 漏洞来源：
  Phuong Nguyen※ dph…

Hosting Controller是一个Windows平台下的一体化的虚拟主机管理软件。它可以使所有网站管理活动自动化，并且给予每个Web托管的用户所需要的权限，以管理他们自己的Web网站。
Hosting Controller设计上存在漏洞，可以使远程攻击者在主机上读取、删除和上传任意文件。
软件包中的filemanager.asp存在输入验证漏洞，可以使远程攻击者通过向filemanager.asp程序发送包含\”../\”字串的请求，攻击者可能访问到自身管理目录以外的目录，可以在主机驱动器的任意位置读取、删除和上传任意文件。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 在漏洞修补之前暂时停止Hosting Controller的使用。
厂商补丁：
Hosting Controller
——————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.hostingcontroller.com/english/index.html” target=”_blank”>
http://www.hostingcontroller.com/english/index.html

来源: XF
名称: hosting-controller-dot-directory-traversal(7824)
链接:http://xforce.iss.net/static/7824.php

来源: BID
名称: 3811
链接:http://www.securityfocus.com/bid/3811

来源: www.hostingcontroller.com
链接:http://www.hostingcontroller.com/english/patches/ForAll/download/foldersecurity.zip

来源: BUGTRAQ
名称: 20020105 Hosting Controller’s – Multiple Security Vulnerabilities
链接:http://archives.neohapsis.com/archives/bugtraq/2002-01/0039.html