GoPivotal Pivotal Grails Resources插件权限许可和访问控制漏洞

漏洞信息详情

GoPivotal Pivotal Grails Resources插件权限许可和访问控制漏洞

• CNNVD编号：CNNVD-201404-250
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2014-2857
  
• 漏洞类型：
  
  
  权限许可和访问控制
  
• 发布时间：
  
  2014-04-23
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2014-04-23
  
• 厂        商：
  
  gopivotal
• 漏洞来源：

Pivotal Grails是GoPivotal公司的一套基于Groovy编程语言且用于快速开发Web应用的开源框架。Resources是其中的一个HTML资源管理插件。

GoPivotal Pivotal Grails 2.0.0至2.3.6版本的Resources插件1.2.6之前的1.0.0版本的默认配置存在安全漏洞，该漏洞源于程序没有正确限制对WEB-INF目录下文件的访问。远程攻击者可通过发送直接请求利用该漏洞获取敏感信息。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://grails.org/

来源:FULLDISC

名称:20140227 Update: CVE-2014-0053 Information Disclosure when using Grails

链接:http://archives.neohapsis.com/archives/fulldisclosure/2014-02/0267.html

来源:BUGTRAQ

名称:20140227 Update: CVE-2014-0053 Information Disclosure when using Grails

链接:http://www.securityfocus.com/archive/1/archive/1/531281/100/0/threaded

来源:www.gopivotal.com

链接:http://www.gopivotal.com/security/cve-2014-0053