偵測

Resin viewfile Servlet 任意檔案洩漏

medium Nessus Plugin ID 21607

語系:

概要

遠端 Web 伺服器容易受到任意檔案存取弱點影響。

說明

遠端主機正在執行一個應用程式伺服器 Resin。

遠端主機上安裝的 Resin 包含一個名為「viewfile」的 Servlet,未經驗證的遠端攻擊者可藉以檢視受影響主機上 Web 根目錄內的任何檔案。這可導致機密性喪失。

解決方案

移除「resin-doc.war」檔案且不使用預設設定檔進行部署,或是升級至 Resin 3.0.19 或更新版本。

另請參閱

https://www.securityfocus.com/archive/1/434145/30/0/threaded

http://www.caucho.com/download/changes.xtp

Plugin 詳細資訊

嚴重性: Medium

ID: 21607

檔案名稱: resin_viewfile_file_access.nasl

版本: 1.23

類型: remote

系列: CGI abuses

已發布: 2006/5/27

已更新: 2021/1/19

支援的感應器: Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.9

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

弱點資訊

CPE: cpe:/a:caucho:resin

必要的 KB 項目: www/resin

可輕鬆利用: No exploit is required

弱點發布日期: 2006/5/17

參考資訊

CVE: CVE-2006-2437, CVE-2006-2438

BID: 18007