发布日期:2012-10-31
更新日期:2012-11-03受影响系统:
Axigen Mail Server 8.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 56343
CVE(CAN) ID: CVE-2012-4940Axigen Mail Server是一款小型的邮件服务器。AXIGEN Mail Server 8.1.0及其他版本的"View Log Files"页面没有正确过滤Web请求内的"..",可导致攻击者浏览、删除、下载服务器内的系统文件。1) 通过"fileName"参数传递到index.hsp (将"page"设置为"vlf"、"action"设置为"edit")和sources/logging/page_log_dwn_file.hsp (将"action"设置为"download") 的输入没有正确验证即用于读取文件,通过目录遍历序列,可导致泄露和下载任意文件。2) 通过"fileName"参数传递到index.hsp (将"page"设置为"vlf"、"action"设置为"delete")没有正确验证即用于删除文件,通过目录遍历序列,可导致泄露和下载任意文件。要成功利用此漏洞要求访问“Logging”模块。<*来源:Zhao Liang
链接:http://secunia.com/advisories/51118/
http://www.kb.cert.org/vuls/id/586556
http://cwe.mitre.org/data/definitions/22.html
*>建议:
--------------------------------------------------------------------------------
临时解决方法:如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:* 仅允许连接可信任主机和网络。厂商补丁:Axigen
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.axigen.com/D-Link Wireless N300云路由器CAPTCHA处理缓冲区溢出漏洞NetCat CMS多个跨站脚本执行漏洞相关资讯 Axigen Mail Server AXIGEN Mail Server安全漏洞
- AXIGEN Mail Server “fileName” (11/01/2012 23:06:17)
| - Axigen Mail Server "Body"字段 (08/10/2012 07:41:10)
|
本文评论 查看全部评论 (0)
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管
|
易网时代-编程资源站