检测

Ektron CMS400.net TransformXslt Web 服务目录遍历

medium Nessus 插件 ID 46200

语言:

简介

远程 Web 服务器具有一个容易受到目录遍历攻击的应用程序。

描述

安装的 Ektron CMS400.net 版本随附一项 Web 服务,会处理不受信任的 XML 数据,并允许攻击者执行 XML 外部实体 (XXE) 攻击。Nessus 可恶意利用此问题,向 'TransformXslt' web 服务发送特别构建的请求,并检索本地文件。

解决方案

升级到 Ektron CMS400.NET 7.66 SP5 或更高版本。

另见

https://www.westpoint.ltd.uk/advisories/wp-09-0008.txt

https://world.episerver.com/?g=posts&t=31005

https://world.episerver.com/#766sp5

插件详情

严重性: Medium

ID: 46200

文件名: ektron_cms400_transformxslt_dir_traversal.nasl

版本: 1.10

类型: remote

系列: CGI abuses

发布时间: 2010/4/30

最近更新时间: 2022/6/1

配置: 启用全面检查

支持的传感器: Nessus

风险信息

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 4.1

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

漏洞信息

必需的 KB 项: www/ASP, www/cms400

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: Exploits are available

被 Nessus 利用: true

补丁发布日期: 2010/4/6

漏洞发布日期: 2009/10/6

参考资料信息

BID: 39679

Secunia: 39547