BizDesign ImageFolio授权用户WEB路径泄露漏洞发布时间:2002-06-13 更新时间:2002-06-13 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:服务器模式 BUGTRAQ ID:4976 受影响系统 BizDesign ImageFolio 2.23详细描述 ImageFolio Pro是基于WEB的图象库程序,包括通过WEB接口支持系统管理。 远程攻击者可以通过访问登录WEB管理页面,并建立不正常恶意的名字种类,当操作失败的时候,就会显示包含文件全路径的错误信息,其中包含WEB ROOT信息。 测试代码 登录WEB页后,到create category并建立如下category: ../blah 会显示如下错误信息: /home/httpd/imagefolio//blah. Reason: Permission denied. (no comments..) 解决方案 尚无 相关信息 ET LoWNOISE <et@cyberspace.org>. 参考:http://online.securityfocus.com/archive/1/276133 相关主页:http://www.imagefolio.com/ |
