CH azonosító
CH-7154Angol cím
Nginx Naxsi Module Arbitrary File Disclosure VulnerabilityFelfedezés dátuma
2012.07.07.Súlyosság
KözepesÉrintett rendszerek
N/ANaxsi 0.x (module for Nginx)
nginx
Érintett verziók
Naxsi 0.x (module for Nginx)
Összefoglaló
A Nginx Naxsi bővítmény egy sérülékenységét jelentették, amelyet kihasználva a támadók bizalmas információkat szerezhetnek.
Leírás
Bizonyos nem részletezett bemeneti adatok nincsenek megfelelően megtisztítva a naxsi-ui/ nx_extract.py scritp-ben, mielőtt fájl beolvasásra lennének használva. Ezt kihasználva tetszőleges fájlok tartalma hozható nyilvánosságra könyvtár bejárásos támadások útján.
A sérülékenységet a 0.46-1 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA 49811
Egyéb referencia: code.google.com