Apache Cocoon远程目录遍历漏洞

漏洞信息详情

Apache Cocoon远程目录遍历漏洞

• CNNVD编号：CNNVD-200312-086
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-1172
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2003-10-24
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  apache
• 漏洞来源：
  Thierry De Leeuw.※…

Apache Cocoon是一款基于XML的内容管理系统。
Apache Cocoon的样本文件存在目录遍历问题，远程攻击者可以利用这个漏洞以WEB权限查看系统任意文件内容。
Apache Cocoon包含的view-source脚本对用户提交的\’\’filename\’\’参数缺少充分过滤，攻击者提交包含多个\’\’../\’\’的数据，可绕过WEB ROOT限制，以WEB权限查看系统任意文件内容。

厂商补丁：
Apache Software Foundation
————————–
2003/10/22之后的Apache Cocoon version 2.1和2003/10/22之后的的Apache Cocoon version 2.2不存在此漏洞，请下载使用：

http://cocoon.apache.org/2.1/#What+is+Cocoon%3F” target=”_blank”>
http://cocoon.apache.org/2.1/#What+is+Cocoon%3F

来源: www.securiteam.com
链接:http://www.securiteam.com/securitynews/6W00L0U8KC.html

来源: XF
名称: apachecocoon-directory-traversal-bootini(13499)
链接:http://xforce.iss.net/xforce/xfdb/13499

来源: BID
名称: 8883
链接:http://www.securityfocus.com/bid/8883

来源: OSVDB
名称: 2749
链接:http://www.osvdb.org/2749

来源: SECTRACK
名称: 1007993
链接:http://securitytracker.com/id?1007993

来源: SECUNIA
名称: 10064
链接:http://secunia.com/advisories/10064

来源: issues.apache.org
链接:http://issues.apache.org/bugzilla/show_bug.cgi?id=23949

来源：NSFOCUS
名称：5587
链接：http://www.nsfocus.net/vulndb/5587