CH azonosító
CH-4133Angol cím
IntegraXor "file_name" File Disclosure VulnerabilityFelfedezés dátuma
2010.12.21.Súlyosság
AlacsonyÖsszefoglaló
Az IntegraXor olyan sérülékenysége vált ismertté, melyet kihasználva támadók érzékeny információkat szerezhetnek meg.
Leírás
A “/<project>/open” “file_name” paraméterének átadott bemenet (ahol a “<project>” egy létező projekt) nincs megfelelően ellenőrizve mielőtt fájlok megjelenítéséhez használnák. Ez kihasználható tetszőleges fájlok beillesztésére helyi erőforrásokból könyvtár bejárásos támadásokkal.
A sikeres kihasználás feltétele, hogy az I1tegraXor Server el legyen indítva és egy projektet futtasson (alapértelmezés szerint ki van kapcsolva).
A sérülékenység a 3.6.4000.0. verzióban található, de egyéb verziók is érintettek lehetnek.
Megoldás
Kizárólag megbízható hostoknak engedélyezze a hozzáférést (pl. hálózati hozzáférést szabályozó listákkal)!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: aluigi.altervista.org
SECUNIA 42730