(JAF) CMS 敏感信息泄露漏洞

漏洞信息详情

(JAF) CMS 敏感信息泄露漏洞

• CNNVD编号：CNNVD-200506-213
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2005-2053
  
• 漏洞类型：
  
  
  路径遍历
  
• 发布时间：
  
  2005-06-28
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-09-20
  
• 厂        商：
  
  salims_softhouse
• 漏洞来源：

(JAF) CMS 3.0 Final之前版本中又一个flat文件存在安全漏洞，远程攻击者可借助提交到index.php脚本中的：(1) id参数中一个*(星号)，(2) 一个空id参数，或(3) disp参数中一个*(星号)，来获取敏感信息。这些参数会在出错消息中泄漏路径信息。注：漏洞追踪说明这可能属于目录遍历漏洞或文件包含漏洞。

目前厂商已经发布了升级补丁以修复这个安全问题，补丁下载链接：

Real Networks Helix Player for Linux 1.0.4

Debian helix-player_1.0.4-1sarge1_i386.deb

Debian GNU/Linux 3.1 alias sarge

http://security.debian.org/pool/updates/main/h/helix-player/helix-play er_1.0.4-1sarge1_i386.deb

Debian helix-player_1.0.4-1sarge1_powerpc.deb

http://security.debian.org/pool/updates/main/h/helix-player/helix-play er_1.0.4-1sarge1_powerpc.deb

S.u.S.E. Linux Personal 9.2

S.u.S.E. RealPlayer-10.0.5-0.1.i586.rpm

ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/i586/RealPlayer-10.0.5 -0.1.i586.rpm

S.u.S.E. Linux Professional 9.2

S.u.S.E. RealPlayer-10.0.5-0.1.i586.rpm

ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/i586/RealPlayer-10.0.5 -0.1.i586.rpm

S.u.S.E. Linux Professional 9.3

S.u.S.E. RealPlayer-10.0.5-0.1.i586.rpm

ftp://ftp.suse.com/pub/suse/i386/update/9.3/rpm/i586/RealPlayer-10.0.5 -0.1.i586.rpm

S.u.S.E. Linux Personal 9.3

S.u.S.E. RealPlayer-10.0.5-0.1.i586.rpm

ftp://ftp.suse.com/pub/suse/i386/update/9.3/rpm/i586/RealPlayer-10.0.5 -0.1.i586.rpm

来源: BUGTRAQ

名称: 20050626 Re: [ECHO_ADV_20$2005] Full path disclosure JAF CMS

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111990004028512&w=2

来源: BUGTRAQ

名称: 20050623 [ECHO_ADV_20$2005] Full path disclosure JAF CMS

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=111954840611126&w=2

来源: MISC

链接:http://echo.or.id/adv/adv20-theday-2005.txt