Apple Quicktime/Darwin流服务器parse_xml.cgi目录列表漏洞

Apple Quicktime/Darwin流服务器parse_xml.cgi目录列表漏洞

漏洞ID 1203018 漏洞类型 输入验证
发布时间 2003-02-24 更新时间 2005-05-13
图片[1]-Apple Quicktime/Darwin流服务器parse_xml.cgi目录列表漏洞-安全小百科CVE编号 CVE-2003-0052
图片[2]-Apple Quicktime/Darwin流服务器parse_xml.cgi目录列表漏洞-安全小百科CNNVD-ID CNNVD-200303-032
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200303-032
|漏洞详情
AppleDarwin和QuickTime流管理服务器是基于WEB的服务,允许管理员管理Darwin和QuickTime流服务器,默认情况下,这些服务以root用户权限监听1220/TCP端口。Darwin/QuickTime流服务器的parse_xml.cgi不充分过滤用户提交的输入,远程攻击者可以利用这个漏洞查看系统目录列表。Darwin流管理服务器依靠parse_xml.cgi应用程序来验证和与用户交互,此CGI由PERL编写,由于程序不正确使用open()函数,攻击者可以使用这个函数来打开UNIX操作系统下的目录节点,造成信息泄露,也存在漏洞可导致攻击者查看WEB脚本的源代码信息。
|参考资料

来源:BUGTRAQ
名称:20030224QuickTime/DarwinStreamingAdministrationServerMultiplevulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=104618904330226&w;=2
来源:XF
名称:quicktime-darwin-directory-disclosure(11403)
链接:http://www.iss.net/security_center/static/11403.php
来源:lists.apple.com
链接:http://lists.apple.com/archives/security-announce/2003/Feb/25/applesa20030225macosx102.txt
来源:BID
名称:6955
链接:http://www.securityfocus.com/bid/6955

相关推荐: Xynph FTP Server 1.0 – Directory Traversal

Xynph FTP Server 1.0 – Directory Traversal 漏洞ID 1053683 漏洞类型 发布时间 2003-01-11 更新时间 2003-01-11 CVE编号 N/A CNNVD-ID N/A 漏洞平台 Windows C…

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享