cgihtml不安全临时文件覆盖漏洞

漏洞信息详情

cgihtml不安全临时文件覆盖漏洞

• CNNVD编号：CNNVD-200312-310
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2003-1280
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2003-01-07
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-01-20
  
• 厂        商：
  
  eekim
• 漏洞来源：
  Chris Leishman※ ch…

cgihtml是一套解析WWW通用网关接口输入和以超文本标记语言输出的系统。
cgihtml不安全建立临时文件，远程攻击者可以利用这个漏洞覆盖系统任意文件。
当处理上传的表单数据时，cgihtml会在/tmp或用户指定的目录中建立临时文件，而程序在建立临时文件时使用客户端提供的文件名，因此如果客户端提供恶意文件名(如包含目录遍历路径\’\’../\’\’)，可能导致以cgihtml进程权限覆盖任意系统文件。

厂商补丁：
Eekim
—–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.eekim.com/software/cgihtml/” target=”_blank”>
http://www.eekim.com/software/cgihtml/

来源: BID
名称: 6550
链接:http://www.securityfocus.com/bid/6550

来源: BUGTRAQ
名称: 20030107 Multiple cgihtml vulnerabilities
链接:http://www.securityfocus.com/archive/1/305469

来源: XF
名称: cgihtml-dotdot-directory-traversal(11022)
链接:http://www.iss.net/security_center/static/11022.php

来源：NSFOCUS
名称：4187
链接：http://www.nsfocus.net/vulndb/4187