Apache mod_proxy_ftp 目录组件通配符字符通配 XSS
medium Nessus 插件 ID 34433
语言:
简介
远程 Web 服务器容易遭受跨站脚本攻击。描述
远程主机上运行的 Apache 版本中的 mod_proxy_ftp 模块未能正确审查用户提供的 URL 输入,便将其用于生成动态 HTML 输出。攻击者可以通过使用包含通配字符(如星号、波浪符、左方括号等)的专门构建的 FTP URL 请求,利用此问题将任意 HTML 和脚本代码注入使用者的浏览器,并在受影响网站的安全环境下执行。解决方案
升级至 Apache 2.2.10 或更高版本。或者禁用受影响的模块。另见
http://www.rapid7.com/advisories/R7-0033
https://www.securityfocus.com/archive/1/495180/100/0/threaded
插件详情
严重性: Medium
ID: 34433
文件名: apache_mod_proxy_ftp_glob_xss.nasl
版本: 1.23
类型: remote
系列: Web Servers
发布时间: 2008/10/16
最近更新时间: 2022/4/11
配置: 启用全面检查
支持的传感器: Nessus
风险信息
VPR
风险因素: Low
分数: 2.2
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.6
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/a:apache:http_server
必需的 KB 项: installed_sw/Apache
易利用性: No known exploits are available
被 Nessus 利用: true
参考资料信息
CVE: CVE-2008-2939
BID: 30560
CWE: 79