RiSearch和RiSearch Pro多个安全漏洞

漏洞信息详情

RiSearch和RiSearch Pro多个安全漏洞

• CNNVD编号：CNNVD-200407-092
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2004-2061
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-07-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  risearch_software
• 漏洞来源：
  Phil Robinson
  Gera…

RiSearch (Pro) Suite是一款用户搜索WEB站点的PERL脚本。
RiSearch (Pro)存在多个安全问题，远程攻击者可以利用这些漏洞通过FTP或HTTP访问任意端口和或以WEB权限在系统上查看任意文件内容。
RiSearch (Pro)包含的show.pl脚本对用户提交的参数缺少充分过滤，攻击者可以操作URI变量请求其他站点，端口和文件。另外对\’\’file\’\’参数缺少充分过滤，提交包含本地系统文件作为参数，可以WEB进程权限查看并返回给攻击者。

厂商补丁：
RiSearch Software
—————–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.risearch.org” target=”_blank”>
http://www.risearch.org

来源: XF
名称: risearch-show-open-proxy(16817)
链接:http://xforce.iss.net/xforce/xfdb/16817

来源: BID
名称: 10812
链接:http://www.securityfocus.com/bid/10812

来源: SECUNIA
名称: 12173
链接:http://secunia.com/advisories/12173

来源: BUGTRAQ
名称: 20040727 IRM 009: RiSearch and RiSearch ProPro are vulnerable to open FTP/HTTP proxy, directory listings and file disclosure vulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109095196526490&w=2

来源: OSVDB
名称: 8266
链接:http://www.osvdb.org/8266

来源: OSVDB
名称: 8265
链接:http://www.osvdb.org/8265

来源: SECTRACK
名称: 1010788
链接:http://securitytracker.com/id?1010788