Hosting Controller权限检查不充分漏洞

漏洞信息详情

Hosting Controller权限检查不充分漏洞

• CNNVD编号：CNNVD-200208-221
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2002-0464
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-03-18
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  hosting_controller
• 漏洞来源：
  Phuong Nguyen※ dph…

Hosting Controller是一款在一个接口上集中化管理所有主机任务的应用程序。Hosting Controller提供所有用户需要进行相关WEB管理的请求控制，运行在Microsoft windows操作系统下。
Hosting Controller对用户权限验证不完全可导致未授权修改目录内容。
由于Hosting Controller在当限制WEB页面的请求时，没有正确验证用户权限，攻击者可以提交包含多个\’\’../\’\’字符的请求给\’\’folderactions.asp\’\’或者\’\’file_editor.asp\’\’文件，可导致用户修改，删除或者建立webroot之外的文件和目录。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* Phuong Nguyen (dphuong@yahoo.com)提供了修正过的folderactions.asp 和

file_editor.asp供大家下载：

http://archives.neohapsis.com/archives/bugtraq/2002-03/att-0222/01-fix.zip” target=”_blank”>
http://archives.neohapsis.com/archives/bugtraq/2002-03/att-0222/01-fix.zip
厂商补丁：
Hosting Controller
——————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.hostingcontroller.com/english/index.html” target=”_blank”>
http://www.hostingcontroller.com/english/index.html

来源: BID
名称: 4311
链接:http://www.securityfocus.com/bid/4311

来源: BUGTRAQ
名称: 20020318 Hosting Directory Traversal madness…
链接:http://www.securityfocus.com/archive/1/262734

来源: www.hostingcontroller.com
链接:http://www.hostingcontroller.com/english/patches/ForAll/download/dot-slash.zip