漏洞信息详情

Apache Cocoon远程目录遍历漏洞

• CNNVD编号：CNNVD-200312-086
• 危害等级： 低危
  
• CVE编号： CVE-2003-1172
• 漏洞类型： 访问验证错误
• 发布时间： 2003-10-24
• 威胁类型： 远程
• 更新时间： 2005-10-20
• 厂        商： apache
• 漏洞来源： Thierry De Leeuw.※...

漏洞简介

Apache Cocoon是一款基于XML的内容管理系统。 Apache Cocoon的样本文件存在目录遍历问题，远程攻击者可以利用这个漏洞以WEB权限查看系统任意文件内容。 Apache Cocoon包含的view-source脚本对用户提交的\'\'filename\'\'参数缺少充分过滤，攻击者提交包含多个\'\'../\'\'的数据，可绕过WEB ROOT限制，以WEB权限查看系统任意文件内容。

漏洞公告

厂商补丁： Apache Software Foundation -------------------------- 2003/10/22之后的Apache Cocoon version 2.1和2003/10/22之后的的Apache Cocoon version 2.2不存在此漏洞，请下载使用：

http://cocoon.apache.org/2.1/#What+is+Cocoon%3F

参考网址

来源: www.securiteam.com 链接:http://www.securiteam.com/securitynews/6W00L0U8KC.HTML 来源: XF 名称: apachecocoon-directory-traversal-bootini(13499) 链接:http://xforce.iss.net/xforce/xfdb/13499 来源: BID 名称: 8883 链接:http://www.securityfocus.com/bid/8883 来源: OSVDB 名称: 2749 链接:http://www.osvdb.org/2749 来源: SECTRACK 名称: 1007993 链接:http://securitytracker.com/id?1007993 来源: SECUNIA 名称: 10064 链接:http://secunia.com/advisories/10064 来源: issues.apache.org 链接:http://issues.apache.org/bugzilla/show_bug.cgi?id=23949 来源：NSFOCUS 名称：5587 链接：http://www.nsfocus.net/vulndb/5587

受影响实体

• Apache Cocoon:2.2  
• Apache Cocoon:2.1.2  
• Apache Cocoon:2.1  

补丁

暂无