Web 服务器目录遍历任意文件访问
high Nessus 插件 ID 10297
语言:
简介
远程 Web 服务器受到目录遍历漏洞的影响。描述
似乎可以通过特别构造的 URL 来读取远程主机上除 Web 服务器的文档目录以外的任意文件。未经认证的攻击者可能能够利用该问题来访问敏感信息,从而帮助进行后续攻击。请注意,该插件并不局限于测试一组特定 Web 服务器上的已知漏洞,而是会尝试进行一系列通用目录遍历攻击,如果在回应中发现存在“/etc/passwd”或 Windows“win.ini”文件内容的证据,则将产品视为存在漏洞。实际上,它可能会发现尚未报告给产品供应商“新”问题。
解决方案
请联系供应商获得更新、使用其他产品或完全禁用服务。插件详情
严重性: High
ID: 10297
文件名: web_traversal.nasl
版本: 1.126
类型: remote
系列: Web Servers
发布时间: 1999/11/5
最近更新时间: 2023/4/7
支持的传感器: Nessus
风险信息
CVSS 分数理由: Score based on generic tda vulnerability.
CVSS v2
风险因素: High
基本分数: 7.1
时间分数: 6.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:C/I:N/A:N
CVSS 分数来源: manual
漏洞信息
可利用: true
易利用性: Exploits are available
被 Nessus 利用: true
参考资料信息
CWE: 22