检测

EyeOS 文件参数目录遍历

medium Nessus 插件 ID 53512

语言:

简介

远程 Web 服务器托管的 PHP 脚本受目录遍历漏洞的影响。

描述

远程主机托管的 EyeOS 版本内含 PHP 脚本 (devtools/qooxdoo-sdk/framework/source/resource/qx/test/part/delay.php),其未审查在“file”参数中的输入,便将其用于从远程主机传回文件内容。

未经认证的远程攻击者可利用此问题,从受影响的 Web 服务器取得潜在敏感信息。

请注意,此安装也可能受到一个跨站脚本问题影响,不过 Nessus 并未针对该漏洞进行检查。

解决方案

升级至 2.4.或更新版本。

另见

http://www.nessus.org/u?e8492f9e

http://blog.eyeos.org/en/2011/04/07/about-some-eyeos-security-issues/

插件详情

严重性: Medium

ID: 53512

文件名: eyeos_file_dir_traversal.nasl

版本: 1.11

类型: remote

系列: CGI abuses

发布时间: 2011/4/21

最近更新时间: 2022/4/11

配置: 启用全面检查

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

必需的 KB 项: www/PHP

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

补丁发布日期: 2011/4/11

漏洞发布日期: 2011/4/6

参考资料信息

CVE: CVE-2011-1715

BID: 47184

SECUNIA: 43997