Mambo Site Server存在路径泄露漏洞发布时间:2002-12-27 更新时间:2002-12-27 严重程度:中 威胁程度:服务器信息泄露 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6387 受影响系统 Mambo Site Server 4.0.11详细描述 Mambo Site Server发现存在安全漏洞。提交带非法参数的'index.php'请求,可返回包含路径信息的错误页面。 利用这些信息可以进一步对系统进行攻击。 测试代码 ==================================================== Fatal error: Maximum execution time of 30 seconds exceeded in /var/www/html/mambo/classes/database.php on line 30 ==================================================== example url: http://hostname/mambo/index.php?Itemid=some_shit 解决方案 升级程序: Mambo Mambo Site Server 4.0.11: Mambo Upgrade mamboV4.0.12-BETA.tar.gz http://freshmeat.net/redir/mambo/15020/url_tgz/mamboV4.0.12-BETA.tar.gz 相关信息 "euronymous" <just-a-user@yandex.ru>. 参考:http://online.securityfocus.com/archive/1/303137 相关主页:http://sourceforge.net/projects/mambo |
