eZ publish siteaccess URIMatching 绕过访问限制漏洞

漏洞信息详情

eZ publish siteaccess URIMatching 绕过访问限制漏洞

• CNNVD编号：CNNVD-200512-648
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2005-4852
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2005-12-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-07-25
  
• 厂        商：
  
  ez
• 漏洞来源：

eZ publish 3.5至3.8在20050812之前的版本中实施的siteaccess URIMatching将一个URL中的所有非字母数字字符转化成\’\’_\’\’ (下划线)，远程攻击者因此可以通在URI中插入某些字符，如/admin：de请求，匹配只许可/admin_de访问/admin的规则，绕过访问限制。

来源: ez.no

链接:http://ez.no/download/ez_publish/changelogs/ez_publish_3_8/changelog_3_6_x_3_7_x_to_3_8_0

来源: issues.ez.no

链接:http://issues.ez.no/7025