TWiki "image" könyvtár betekintés és parancs futtatási sérülékenységei

TWiki “image” könyvtár betekintés és parancs futtatási sérülékenységei

2008. szeptember 21. 22:00

CH azonosító

CH-1586

Felfedezés dátuma

2008.09.21.

Súlyosság

Alacsony

Érintett rendszerek

TWiki

Érintett verziók

TWiki TWiki

Összefoglaló

A TWiki egy biztonsági hibáját jelentették, melyet a támadók titkos információk felfedésére vagy a sérülékeny rendszer feltörésére használhatnak ki.

Leírás

A TWiki egy biztonsági hibáját jelentették, melyet a támadók titkos információk
felfedésére vagy a sérülékeny rendszer feltörésére használhatnak ki.

A bin/configure “image” paraméterének átadott bemenet nincs megfelelően ellenőrizve,
mielőtt azt az “open()” eljárás meghívásához használnák.
Ezt ki lehet használni tetszőleges helyi fájl tartalmának olvasására könyvtár betekintéses támadásokkal vagy tetszőleges parancsok futtatására shell meta-karakterek használatával.

A sikeres kiaknázás feltétele az alkalmazás helytelen telepítése, ami korlátlan
hozzáférést tesz lehetővé a bin/configure scripthez (eltérve a dokumentációtól).

A biztonsági hibát a 4.2.3. verziónál korábbiakban jelentették.

Legfrissebb sérülékenységek

CVE-2024-53104 – Linux Kernel sérülékenysége

CVE-2024-53197 – Linux Kernel Out-of-Bounds Access sérülékenysége

CVE-2024-53150 – Linux Kernel Out-of-Bounds Read sebezhetősége

CVE-2025-30406 – Gladinet CentreStack Use of Hard-coded Cryptographic Key sérülékenysége

CVE-2025-29824 – Microsoft Windows Common Log File System (CLFS) Driver Use-After-Free sérülékenysége

CVE-2024-48887 – Fortinet FortiSwitch sérülékenysége

CVE-2025-31489 – MinIO sérülékenysége

CVE-2025-31161 – CrushFTP Authentication Bypass sebezhetősége

CVE-2025-2704 – OpenVPN sebezhetősége

CVE-2025-22457 – Ivanti Connect Secure, Policy Secure and ZTA Gateways Stack-Based Buffer Overflow sebezhetősége

Tovább a sérülékenységekhez »

TWiki “image” könyvtár betekintés és parancs futtatási sérülékenységei