漏洞信息详情
Vignette StoryServer堆栈内存信息泄露漏洞
- CNNVD编号:CNNVD-200406-022
- 危害等级: 低危
- CVE编号: CVE-2002-0385
- 漏洞类型: 其他
- 发布时间: 2003-04-07
- 威胁类型: 远程
- 更新时间: 2006-04-07
- 厂 商: vignette
- 漏洞来源: @stake advisories※...
漏洞简介
Vignette\'\'s Story服务程序是一款服务于Vignette内存管理应用程序的WEB接口。允许动态和静态发布内容。动态页面使用TCL解析器建立。 Vignette\'\'s WEB服务程序使用的TCP解析器在当生成动态页面时存在漏洞,远程攻击者可以利用这个漏洞获得其他用户的会话信息,服务端代码和其他敏感信息。 Vignette支持通过内容管理系统发布动态内容,允许使用TCL代码与数据库交互,Cookie等其他信息。当请求接收到用户请求需要生成动态页面的时候,如果提交的请求包含大量\"和>字符,那么在TCL解析器处理时就会崩溃,并返回给用户时间段堆栈中的用户数据信息,包括其他用户的会话信息,服务端代码和其他敏感信息。
漏洞公告
厂商补丁: Vignette -------- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.vignette.com/
参考网址
来源: XF 名称: storyserver-tcl-information-disclosure(11725) 链接:http://xforce.iss.net/xforce/xfdb/11725 来源: BID 名称: 7296 链接:http://www.securityfocus.com/bid/7296 来源: ATSTAKE 名称: A040703-1 链接:http://www.atstake.com/research/advisories/2003/a040703-1.txt
受影响实体
- Vignette Storyserver:6.0
- Vignette Storyserver:4.1
- Vignette Vignette:5.0
补丁
暂无
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论