Mambo Site Server远程软件安装路径泄露漏洞

32次阅读
没有评论

Mambo Site Server远程软件安装路径泄露漏洞

漏洞ID 1107129 漏洞类型 信息泄露
发布时间 2002-12-12 更新时间 2002-12-31
Mambo Site Server远程软件安装路径泄露漏洞CVE编号 CVE-2002-2288
Mambo Site Server远程软件安装路径泄露漏洞CNNVD-ID CNNVD-200212-448
漏洞平台 PHP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/22087
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-448
|漏洞详情
MamboSiteServer是一款免费开放源代码WEB内容管理工具,由PHP编写。Mambo包含的’index.php’脚本对用户畸形请求处理不正确,远程攻击者可以利用这个漏洞获得系统物理路径信息。Mambo包含的脚本’index.php’可被远程访问,攻击者可以直接访问此脚本,并传递非法参数,可导致脚本返回包含Mambo程序所在位置的绝对路径信息。攻击者可以借此对系统进一步进行攻击。
|漏洞EXP
source: http://www.securityfocus.com/bid/6387/info

A vulnerability has been discovered in Mambo Site Server. Requesting the 'index.php' script with an invalid parameter will cause an error page to be generated containing the path of the Mambo script.

Information obtained by exploiting this issue may aid an attacker in launching further attacks against a target server.

It should be noted that this vulnerability was reported in Mambo Site Server 4.0.11. It is not yet known whether other versions are affected.

http://www.example.com/mambo/index.php?Itemid=invalidparameter
|参考资料

来源:BID
名称:6387
链接:http://www.securityfocus.com/bid/6387
来源:XF
名称:mambo-index-path-disclosure(10856)
链接:http://xforce.iss.net/xforce/xfdb/10856
来源:BUGTRAQ
名称:20021212MultipleMamboSiteServersec-weaknesses
链接:http://archives.neohapsis.com/archives/bugtraq/2002-12/0111.html
来源:NSFOCUS
名称:4034
链接:http://www.nsfocus.net/vulndb/4034

相关推荐: Phorum查询字符串漏洞

Phorum查询字符串漏洞 漏洞ID 1206102 漏洞类型 未知 发布时间 2000-12-31 更新时间 2000-12-31 CVE编号 CVE-2000-1231 CNNVD-ID CNNVD-200012-201 漏洞平台 N/A CVSS评分 5…

正文完
 0