Windows 上的 Apache mod_alias URL 驗證標準化 CGI 來源資訊洩漏

語系：

遠端 Web 伺服器受到資訊洩漏問題的影響。

因一個組態問題，在遠端 Windows 主機上執行的 Apache 可遭誘騙而洩漏其 CGI 指令碼來源。具體而言，如果 CGI 目錄位於文件 root 中，則更改目錄名稱大小寫的要求會繞過 mod_cgi cgi 指令碼處置程式，且系統會將此要求視為一般檔案的要求。

重新設定 Apache，讓指令碼目錄位於文件 root 之外。

嚴重性: Medium

ID: 17694

檔案名稱: apache_scriptalias_in_htdocs_dir_traversal2.nasl

版本: 1.11

類型: remote

系列: CGI abuses

已發布: 2011/11/18

已更新: 2021/6/22

支援的感應器: Nessus

風險因素: Medium

分數: 4.2

風險因素: Medium

基本分數: 4.3

時間分數: 4.1

媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2006-4110

風險因素: Medium

基本分數: 5.6

時間分數: 5.5

媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

時間媒介: CVSS:3.0/E:F/RL:U/RC:X

CPE: cpe:/a:apache:http_server

必要的 KB 項目: installed_sw/Apache, Settings/PCI_DSS

可被惡意程式利用: true

可輕鬆利用: Exploits are available

弱點發布日期: 2006/8/9

CVE: CVE-2006-4110

BID: 19447