漏洞信息详情
My Postcards MagicCard.CGI远程文件泄露漏洞
- CNNVD编号:CNNVD-200212-749
- 危害等级: 低危
- CVE编号: CVE-2002-1966
- 漏洞类型: 输入验证
- 发布时间: 2002-06-15
- 威胁类型: 远程
- 更新时间: 2005-10-20
- 厂 商: my_postcards
- 漏洞来源: cult simas@kalniec...
漏洞简介
My Postcards是一款商业电子贺卡系统,可使用在多种Unix和Linux操作系统下。 My Postcards中的magiccard.cgi脚本处理用户输入时缺少正确检查,远程攻击者可以利用这个漏洞进行目录遍历攻击。 magiccard.cgi脚本page参数对用户提交的数据缺少过滤,远程攻击者可以提交包含多个\'\'../\'\'字符并追加系统文件名的请求,而导致以WEB进程权限查看目标系统上任意文件内容,造成敏感信息泄露。
漏洞公告
临时解决方法: 如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
* 修改程序,严格过滤用户输入数据。 厂商补丁: My Postcards ------------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://mypostcards.com/platinum/
参考网址
来源: BID 名称: 5029 链接:http://www.securityfocus.com/bid/5029 来源: www.securiteam.com 链接:http://www.securiteam.com/unixfocus/5IP0G2K7FQ.HTML 来源: packetstormsecurity.nl 链接:http://packetstormsecurity.nl/0206-exploits/magiccard_vuln.txt 来源:NSFOCUS 名称:2977 链接:http://www.nsfocus.net/vulndb/2977
受影响实体
- My_postcards My_postcards_platinum:5.0
- My_postcards My_postcards_platinum:6.0
- My_postcards My_postcards_platinum:5.0
- My_postcards My_postcards_platinum:6.0
补丁
暂无
评论