SurgeLDAP user.cgi远程目录遍历漏洞

漏洞信息详情

SurgeLDAP user.cgi远程目录遍历漏洞

• CNNVD编号：CNNVD-200412-1208
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-2253
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-04-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  netwin
• 漏洞来源：
  dr_insane※ dr_insa…

SurgeLDAP是一款高级易管理的高性能的LDAP v3服务器。
SurgeLDAP包含的管理服务器脚本对用户提交的请求缺少充分过滤，远程攻击者可以利用这个漏洞以WEB权限查看系统任意文件内容。
漏洞存在于user.cgi脚本中，由于对\’\’page\’\’参数缺少充分过滤，提交包含多个\”../\”字符作为参数数据，可绕过WEB ROOT限制，以WEB权限查看系统任意文件内容。

厂商补丁：
NetWin
——
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://netwinsite.com/surgeldap/” target=”_blank”>
http://netwinsite.com/surgeldap/

来源: XF
名称: surgeldap-dotdot-directory-traversal(15851)
链接:http://xforce.iss.net/xforce/xfdb/15851

来源: BID
名称: 10103
链接:http://www.securityfocus.com/bid/10103

来源: SECUNIA
名称: 11343
链接:http://secunia.com/advisories/11343

来源: members.lycos.co.uk
链接:http://members.lycos.co.uk/r34ct/main/SurgeLDAP%201.0g.txt

来源：NSFOCUS
名称：6325
链接：http://www.nsfocus.net/vulndb/6325