osCommerce extras/update.php 信息泄露漏洞-一一网

osCommerce extras/update.php 信息泄露漏洞

4年前更新

1180

漏洞信息详情

osCommerce extras/update.php 信息泄露漏洞

CNNVD编号：CNNVD-200507-244

危害等级：中危
CVE编号：
CVE-2005-2330
漏洞类型：

路径遍历
发布时间：

2005-07-20
威胁类型：

远程
更新时间：

2006-06-14
厂商：

oscommerce
漏洞来源：
Andrew Hunter

漏洞简介

osCommerce是一套电子商务与线上商店管理的软件。基于php和mysql，它能够被使用在任何的web server上。它是采用GNU General Public License授权的自由软件。

osCommerce 2.2的extras/update.php存在目录遍历漏洞。远程攻击者可以通过readme_file参数中的(1)\”..\”(参数值包含\’\’..\’\’)序列或(2)完整路径名读取任意文件从而造成信息泄露。

漏洞公告

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.oscommerce.com/

参考网址

来源: XF

名称: oscommerce-extrasupdate-info-disclosure(25861)

链接:http://xforce.iss.net/xforce/xfdb/25861

来源: BID

名称: 14294

链接:http://www.securityfocus.com/bid/14294

来源: BUGTRAQ

名称: 20060414 RE: osCommerce “extras/” information/source code disclosure

链接:http://www.securityfocus.com/archive/1/431068

来源: BUGTRAQ

名称: 20060414 osCommerce “extras/” information/source code disclosure

链接:http://www.securityfocus.com/archive/1/431012

来源: OSVDB

名称: 18249

链接:http://www.osvdb.org/18249

来源: MISC

链接:http://www.oscommerce.com/community/bugs,2835

来源: MISC

链接:http://sourceforge.net/mailarchive/message.php?msg_id=12318248

来源: SECTRACK

名称: 1015944

链接:http://securitytracker.com/id?1015944

来源: MISC

链接:http://retrogod.altervista.org/oscommerce_22_adv.html

受影响实体

Oscommerce Oscommerce:2.2_ms2

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐