Serv-U 7.x < 7.3.0.1 多种远程漏洞(DoS、遍历)
high Nessus 插件 ID 34398
语言:
简介
远程 FTP 服务器受到多个漏洞的影响。描述
安装的 Serv-U 7.x 版本低于 7.3.0.1,因此有报告称其受到以下问题的影响:- 经过身份验证的远程攻击者可通过在使用提供的 STOU 命令时指定 Windows 端口(例如“CON: ”)时,导致服务消耗远程主机上的所有 CPU 时间,但前提是该攻击者拥有目录的写入权限。
- 经过身份验证的远程攻击者可通过 RNTO 命令的目录遍历攻击来覆盖或创建任意文件。
- 经过身份验证的远程攻击者可能通过将目标放置在“\”(即“我的电脑”)中,将文件上传到具有重命名的当前 Windows 目录中。
解决方案
升级到 Serv-U 7.3.0.1 或更新版本。另见
插件详情
严重性: High
ID: 34398
文件名: servu_7_3_0_1.nasl
版本: 1.21
类型: remote
系列: FTP
发布时间: 2008/10/14
最近更新时间: 2022/4/11
配置: 启用彻底检查
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 9
时间分数: 7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
时间矢量: CVSS2#E:POC/RL:OF/RC:C
漏洞信息
CPE: cpe:2.3:a:serv-u:serv-u:*:*:*:*:*:*:*:*
必需的 KB 项: ftp/servu
可利用: true
易利用性: Exploits are available
参考资料信息
CVE: CVE-2008-4500, CVE-2008-4501