IBM Lotus Domino HTTP webadmin.nsf远程目录遍历漏洞

漏洞信息详情

IBM Lotus Domino HTTP webadmin.nsf远程目录遍历漏洞

• CNNVD编号：CNNVD-200412-188
• 危害等级： 低危
  
  
• CVE编号：
  CVE-2004-2311
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2004-03-17
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ibm
• 漏洞来源：
  dr_insane※ dr_insa…

Lotus Domino服务器是一款基于WEB合作的应用程序架构，运行在Linux/Unix和Microsoft Windows操作系统平台下。
Lotus Domino服务器的webadmin.nsf对用户提交请求缺少充分过滤，远程攻击者可以利用这个漏洞以服务程序权限查看系统上任意文件。
服务程序可通过\’\’webadmin.nsf\’\’进行管理接口访问，不过由于对新文件名建立请求缺少充分过滤，攻击者可以利用目录遍历，使用多个\’\’../\’\’以WEB进程权限访问系统上的任意文件。

厂商补丁：
Lotus
—–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.lotus.com/home.nsf/welcome/domino” target=”_blank”>
http://www.lotus.com/home.nsf/welcome/domino

来源: XF
名称: lotus-webadmin-file-disclosure(15504)
链接:http://xforce.iss.net/xforce/xfdb/15504

来源: BID
名称: 9900
链接:http://www.securityfocus.com/bid/9900

来源: SECUNIA
名称: 11143
链接:http://secunia.com/advisories/11143

来源: members.lycos.co.uk
链接:http://members.lycos.co.uk/r34ct/main/ibm_lotus_domino/lotus.txt

来源：NSFOCUS
名称：6186
链接：http://www.nsfocus.net/vulndb/6186