漏洞信息详情

cgiHTML不安全临时文件覆盖漏洞

• CNNVD编号：CNNVD-200312-310
• 危害等级： 低危
  
• CVE编号： CVE-2003-1280
• 漏洞类型： 输入验证
• 发布时间： 2003-01-07
• 威胁类型： 远程
• 更新时间： 2006-01-20
• 厂        商： eekim
• 漏洞来源： Chris Leishman※ ch...

漏洞简介

cgiHTML是一套解析WWW通用网关接口输入和以超文本标记语言输出的系统。 cgiHTML不安全建立临时文件，远程攻击者可以利用这个漏洞覆盖系统任意文件。 当处理上传的表单数据时，cgiHTML会在/tmp或用户指定的目录中建立临时文件，而程序在建立临时文件时使用客户端提供的文件名，因此如果客户端提供恶意文件名(如包含目录遍历路径\'\'../\'\')，可能导致以cgiHTML进程权限覆盖任意系统文件。

漏洞公告

厂商补丁： Eekim ----- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.eekim.com/software/cgiHTML/

参考网址

来源: BID 名称: 6550 链接:http://www.securityfocus.com/bid/6550 来源: BUGTRAQ 名称: 20030107 Multiple cgiHTML vulnerabilities 链接:http://www.securityfocus.com/archive/1/305469 来源: XF 名称: cgiHTML-dotdot-directory-traversal(11022) 链接:http://www.iss.net/security_center/static/11022.php 来源：NSFOCUS 名称：4187 链接：http://www.nsfocus.net/vulndb/4187

受影响实体

• Eekim CgiHTML:1.69  

补丁

暂无