Apache 混合式平台 AddType 指令信息泄露

medium Nessus 插件 ID 17695

简介

远程 Apache 服务器容易遭受信息泄露攻击。

描述

远程主机似乎正在运行 Apache。Apache 在具有 Windows SMB 共享中文档根的 Unix 主机中运行时,未经验证的远程攻击者可取得未处理的目录内容。例如,要求结尾具有反斜线的 PHP 文件,可能会显示文件来源,而非执行文件。

解决方案

确保文档根不是位于 Windows SMB 共享中。

另见

http://www.nessus.org/u?eb25db1c

插件详情

严重性: Medium

ID: 17695

文件名: apache_smb_document_root.nasl

版本: 1.7

类型: remote

系列: Web Servers

发布时间: 2011/11/18

最近更新时间: 2018/11/15

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS v3

风险因素: Medium

基本分数: 5.6

时间分数: 5.1

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:L

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:apache:http_server

必需的 KB 项: installed_sw/Apache, Settings/PCI_DSS

可利用: true

易利用性: Exploits are available

漏洞发布日期: 2007/12/19

参考资料信息

CVE: CVE-2007-6514

BID: 26939

CWE: 200