Citrix Nfuse boilerplate.asp WEB ROOT目录泄露漏洞

漏洞信息详情

Citrix Nfuse boilerplate.asp WEB ROOT目录泄露漏洞

• CNNVD编号：CNNVD-200208-196
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0503
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-03-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  citrix
• 漏洞来源：
  Eric Budke※ budke@…

Citrix NFuse是一款应用构建服务程序，通过WEB浏览器提供任意应用程序的功能，NFuse需要与WEB服务器结合工作，运行在多种操作系统下，包括Unix，Linux，windows.
Citrix NFuse对用户输入过滤上存在漏洞，可使远程攻击者获得Web ROOT在系统上的绝对路径信息。
Citrix NFuse中的lboilerplate.asp脚本代码没有过滤来自URL参数，攻击者可通过向lboilerplate.asp提供构建包含(../)特殊的请求，导致主机返回包含Web ROOT绝对路径的错误信息给攻击者。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没有好的临时解决方法。
厂商补丁：
Citrix
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.citrix.com/products/nfuse/default.asp” target=”_blank”>
http://www.citrix.com/products/nfuse/default.asp

来源: XF
名称: nfuse-boilerplate-directory-traversal(8654)
链接:http://www.iss.net/security_center/static/8654.php

来源: BID
名称: 4382
链接:http://www.securityfocus.com/bid/4382

来源: BUGTRAQ
名称: 20020327 Citrix Nfuse directory traversal with boilerplate.asp
链接:http://archives.neohapsis.com/archives/bugtraq/2002-03/0343.html