Leif M. Wright Web Blog远程文件泄露漏洞

漏洞信息详情

Leif M. Wright Web Blog远程文件泄露漏洞

• CNNVD编号：CNNVD-200401-045
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-2127
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2004-01-20
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  leif_m._wright
• 漏洞来源：
  Zone-h Security La…

Web Blog是一款基于WEB的记事程序。
Web Blog不充分过滤用户提交的URI请求，远程攻击者可以利用这个漏洞以WEB权限查看系统任意文件内容。
问题存在于\’\’blog.cgi\’\’脚本中，由于对用户提交的\’\’file\’\’变量缺少充分过滤，提交包含多个\’\’../\’\’字符的请求，可绕过WEB ROOT限制，以WEB进程权限查看系统任意文件内容。

厂商补丁：
Leif M. Wright
————–
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载使用Web Blog 1.1.5：

http://leifwright.com” target=”_blank”>
http://leifwright.com

来源: XF
名称: webblog-dotdot-directory-traversal(14978)
链接:http://xforce.iss.net/xforce/xfdb/14978

来源: www.zone-h.org
链接:http://www.zone-h.org/en/advisories/read/id=3822/

来源: BID
名称: 9517
链接:http://www.securityfocus.com/bid/9517

来源: BUGTRAQ
名称: 20040128 ZH2004-01SA (security advisory): Web Blog 1.1 Remote arbitrary
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=107531194527602&w=2

来源: OSVDB
名称: 3739
链接:http://www.osvdb.org/3739

来源: SECUNIA
名称: 10740
链接:http://secunia.com/advisories/10740