漏洞信息详情

Vignette StoryServer堆栈内存信息泄露漏洞

• CNNVD编号：CNNVD-200406-022
• 危害等级： 低危
  
• CVE编号： CVE-2002-0385
• 漏洞类型： 其他
• 发布时间： 2003-04-07
• 威胁类型： 远程
• 更新时间： 2006-04-07
• 厂        商： vignette
• 漏洞来源： @stake advisories※...

漏洞简介

Vignette\'\'s Story服务程序是一款服务于Vignette内存管理应用程序的WEB接口。允许动态和静态发布内容。动态页面使用TCL解析器建立。 Vignette\'\'s WEB服务程序使用的TCP解析器在当生成动态页面时存在漏洞，远程攻击者可以利用这个漏洞获得其他用户的会话信息，服务端代码和其他敏感信息。 Vignette支持通过内容管理系统发布动态内容，允许使用TCL代码与数据库交互，Cookie等其他信息。当请求接收到用户请求需要生成动态页面的时候，如果提交的请求包含大量\"和＞字符，那么在TCL解析器处理时就会崩溃，并返回给用户时间段堆栈中的用户数据信息，包括其他用户的会话信息，服务端代码和其他敏感信息。

漏洞公告

厂商补丁： Vignette -------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.vignette.com/

参考网址

来源: XF 名称: storyserver-tcl-information-disclosure(11725) 链接:http://xforce.iss.net/xforce/xfdb/11725 来源: BID 名称: 7296 链接:http://www.securityfocus.com/bid/7296 来源: ATSTAKE 名称: A040703-1 链接:http://www.atstake.com/research/advisories/2003/a040703-1.txt

受影响实体

• Vignette Storyserver:6.0  
• Vignette Storyserver:4.1  
• Vignette Vignette:5.0  

补丁

暂无