Easy File Sharing Web Server信息泄露及代码注入漏洞

漏洞信息详情

Easy File Sharing Web Server信息泄露及代码注入漏洞

• CNNVD编号：CNNVD-200611-040
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2006-5713
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2006-10-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-11-07
  
• 厂        商：
  
  efs_software
• 漏洞来源：
  Greg Linares glina…

Easy File Sharing Web Server允许访客经由浏览器上传/下载文件，拥有ftp和web版本。

在张贴新的论坛主题线索时Easy File Sharing Web Server没有正确地过滤author、content和title参数的输入，导致在浏览恶意数据时在用户浏览器中执行任意HTML和脚本代码。

此外，在处理备选数据流时也存在一个错误。如果运行在NTFS文件系统上的话，这个漏洞允许通过向请求附加\”：：$DATA\”导致泄漏Web根目录中的任意文件，包括用户和管理员登录凭据、密钥、私人消息、日志文件和其他敏感信息。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sharing-file.com/

来源: XF

名称: easyfilesharing-forum-thread-xss(29923)

链接:http://xforce.iss.net/xforce/xfdb/29923

来源: BID

名称: 20823

链接:http://www.securityfocus.com/bid/20823

来源: SECUNIA

名称: 22602

链接:http://secunia.com/advisories/22602