CwpApi.php GetRelativePath()返回相对路径漏洞

CwpApi.php GetRelativePath()返回相对路径漏洞

漏洞ID 1204802 漏洞类型 设计错误
发布时间 2002-01-22 更新时间 2005-05-02
图片[1]-CwpApi.php GetRelativePath()返回相对路径漏洞-安全小百科CVE编号 CVE-2002-0196
图片[2]-CwpApi.php GetRelativePath()返回相对路径漏洞-安全小百科CNNVD-ID CNNVD-200205-044
漏洞平台 N/A CVSS评分 6.4
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200205-044
|漏洞详情
CwpApi(ComprehensiveWebProgrammingAPI)是一个提供给网站开发人员的编程接口。用PHP实现,支持模板、配置文件、基于DSN的数据库管理并和语种无关。CwpApi某些函数的实现上存在问题,在某种很特殊的情况下,可能使攻击者访问到Web目录以外的文件。CwpApi的GetRelativePath()只检查路径中是否包含了Web的主目录,而不是检查目录是不是在Web主目录之下,因此如果Web的主目录为”/var/www”,则”/etc/var/www/myfile.file”这样的路径也是合法的,如果这样的路径和文件确实存在,攻击者就有可能访问此文件。
|参考资料

来源:XF
名称:cwpapi-getrelativepath-view-files(7981)
链接:http://www.iss.net/security_center/static/7981.php
来源:sourceforge.net
链接:http://sourceforge.net/forum/forum.php?forum_id=144966
来源:BID
名称:3924
链接:http://www.securityfocus.com/bid/3924
来源:BUGTRAQ
名称:20020122(Repost)CwpApi:GetRelativePath()returnsinvalidpaths(securityadvisory)
链接:http://online.securityfocus.com/archive/1/251699

相关推荐: HP Tru64 Internet Group Management Protocol (IGMP)服务拒绝漏洞

HP Tru64 Internet Group Management Protocol (IGMP)服务拒绝漏洞 漏洞ID 1203421 漏洞类型 未知 发布时间 2002-12-31 更新时间 2002-12-31 CVE编号 CVE-2002-2264 …

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享