CH azonosító
CH-7535Angol cím
Turbo NAS Firmware utilRequest.cgi Directory Traversal VulnerabilitiesFelfedezés dátuma
2012.09.06.Súlyosság
AlacsonyÖsszefoglaló
A Turbo NAS Firmware egy sérülékenységét jelentették, amit kihasználva a rosszindulatú felhasználók bizalmas információkat szerezhetnek, illetve módosíthatnak bizonyos adatokat.
Leírás
A cgi-bin/filemanager/utilRequest.cgi részére (amikor a “func” nincs beállítva vagy delete”, “copy”, “move”, “get_acl_properties” értékre van állítva) a “source_file” paraméteren keresztül átadott bemeneti adat nincs megfelelően ellenőrizve felhasználás előtt. Ezt kihasználva tetszőleges fájlt lehet törölni, másolni, áthelyezni, illetve megismerni a tartalmát könyvtár bejárásos támadás segítségével.
A sérülékenységeket a QNAP TS-1279U-RP verzión futó 3.7.3 build 20120801 és korábbi kiadásokban jelentették.
Megoldás
IsmeretlenTámadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
SECUNIA 50414
Egyéb referencia: archives.neohapsis.com