检测

Kebi 学院首页 管理文件 参数遍历 任意文件访问

high Nessus 插件 ID 11453

语言:

简介

远程 Web 服务器包含一个容易遭受目录遍历攻击的 CGI 脚本。

描述

一个韩国的 Web 应用程序 Kebi Academy 未能审查用户对目录遍历序列的“home”脚本的“file”参数的输入。远程攻击者可利用此问题读取任意文件,甚至向受影响的主机上传任意代码,以使用运行 Web 服务器的特权予以执行。

解决方案

请联系供应商获取更新。

另见

https://seclists.org/bugtraq/2003/Mar/229

http://www.nessus.org/u?c0d14d26

插件详情

严重性: High

ID: 11453

文件名: kebi_traversal.nasl

版本: 1.21

类型: remote

系列: CGI abuses

发布时间: 2003/3/24

最近更新时间: 2021/1/19

支持的传感器: Nessus

漏洞信息

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: No exploit is required

漏洞发布日期: 2003/3/17

参考资料信息

BID: 7125