漏洞信息详情

My Postcards MagicCard.CGI远程文件泄露漏洞

• CNNVD编号：CNNVD-200212-749
• 危害等级： 低危
  
• CVE编号： CVE-2002-1966
• 漏洞类型： 输入验证
• 发布时间： 2002-06-15
• 威胁类型： 远程
• 更新时间： 2005-10-20
• 厂        商： my_postcards
• 漏洞来源： cult simas@kalniec...

漏洞简介

My Postcards是一款商业电子贺卡系统，可使用在多种Unix和Linux操作系统下。 My Postcards中的magiccard.cgi脚本处理用户输入时缺少正确检查，远程攻击者可以利用这个漏洞进行目录遍历攻击。 magiccard.cgi脚本page参数对用户提交的数据缺少过滤，远程攻击者可以提交包含多个\'\'../\'\'字符并追加系统文件名的请求，而导致以WEB进程权限查看目标系统上任意文件内容，造成敏感信息泄露。

漏洞公告

临时解决方法： 如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 修改程序，严格过滤用户输入数据。 厂商补丁： My Postcards ------------ 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://mypostcards.com/platinum/

参考网址

来源: BID 名称: 5029 链接:http://www.securityfocus.com/bid/5029 来源: www.securiteam.com 链接:http://www.securiteam.com/unixfocus/5IP0G2K7FQ.HTML 来源: packetstormsecurity.nl 链接:http://packetstormsecurity.nl/0206-exploits/magiccard_vuln.txt 来源：NSFOCUS 名称：2977 链接：http://www.nsfocus.net/vulndb/2977

受影响实体

• My_postcards My_postcards_platinum:5.0  
• My_postcards My_postcards_platinum:6.0  
• My_postcards My_postcards_platinum:5.0  
• My_postcards My_postcards_platinum:6.0  

补丁

暂无