Novell NetWare Web 伺服器 sewse.nlm (viewcode.jse) 遍歷任意檔案存取
medium Nessus Plugin ID 12048
語言:
概要
遠端 Web 伺服器包含一個受到資訊洩漏弱點影響的 JavaScript 應用程式。說明
遠端主機上安裝的 Nombas ScriptEase Web Server Edition for NetWare 版本未清理對「sewse.nlm」頁面及相關聯「viewcode.jse」指令碼的輸入便將其用於顯示檔案的原始程式碼。藉由傳入特製的 URL 引數攻擊者可檢視檔案的內容甚至可檢視 web root 之外的檔案。這可能會導致洩漏受影響主機的敏感資訊例如位於 AUTOEXEC.NCF 中的 RCONSOLE 密碼。
解決方案
從 Web 伺服器移除所有範例指令碼。另請參閱
http://www.irmplc.com/index.php/113-Advisory-002
Plugin 詳細資訊
嚴重性: Medium
ID: 12048
檔案名稱: novell_viewcode.nasl
版本: 1.24
類型: remote
系列: Netware
已發布: 2004/2/6
已更新: 2020/6/12
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.2
CVSS v2
風險因素: Medium
基本分數: 5
時間性分數: 3.7
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
弱點資訊
可輕鬆利用: No known exploits are available
由 Nessus 利用: true
修補程式發佈日期: 2001/6/15
弱點發布日期: 2001/12/12
參考資訊
CVE: CVE-2001-1580
BID: 3715