OSSIM download.php 目錄遊走

medium Nessus Plugin ID 45082

語言:

概要

遠端 Web 伺服器託管的應用程式存有目錄遊走弱點。

說明

遠端主機上主控的 OSSIM 版本有一個目錄遊走弱點。未正確清理對「ossim/repository/download.php」指令碼之「file」參數的輸入。

遠端攻擊者可利用此問題下載任意檔案 (視 Web 伺服器的作業權限而定)。

在此版本 OSSIM 的 Web 介面中可能存有其他弱點，只是 Nessus 未察覺這些弱點。

解決方案

升級至 OSSIM 2.2.1 或更新版本。

另請參閱

http://www.nessus.org/u?4bd9f4c5

https://www.alienvault.com/docs/2.2.1_release_notes.txt

Plugin 詳細資訊

嚴重性: Medium

ID: 45082

檔案名稱: ossim_web_download_dir_traversal.nasl

版本: 1.13

類型: remote

系列: CGI abuses

已發布: 2010/3/17

已更新: 2021/1/19

支援的感應器: Nessus

弱點資訊

必要的 KB 項目: www/PHP, www/ossim

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2010/3/16

弱點發布日期: 2010/3/16

參考資訊

BID: 38780

Secunia: 38969