Cherokee Web 服务器端口绑定特权丢弃漏洞

high Nessus 插件 ID 15622

简介

远程 Web 服务器受到远程命令执行漏洞的影响。

描述

远程主机正在运行 Cherokee,这是一个快捷的微型 Web 服务器。

此软件的远程版本容易受到一个远程命令执行漏洞的影响,这是缺少 Web 请求审查(尤其是 shell 元字符)所致。

此外,此版本在绑定到监听端口后,无法删除根特权。

远程攻击者可能会提交特别构建的 Web 请求,以根特权在服务器上执行任意命令。

解决方案

升级至 Cherokee 0.2.7 或更高版本,有报告称此版本可修复该问题。

另见

http://www.nessus.org/u?b7d15999

插件详情

严重性: High

ID: 15622

文件名: cherokee_remote_cmd.nasl

版本: 1.17

类型: remote

系列: Web Servers

发布时间: 2004/11/4

最近更新时间: 2020/6/12

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

易利用性: No known exploits are available

漏洞发布日期: 2001/12/30

参考资料信息

CVE: CVE-2001-1433

BID: 3771, 3773