找回密码
 开放注册

QQ登录

只需一步,快速开始

微信登录

微信扫码,快速开始

搜索
NB5牛论坛»首页 技术交流区 网安技术 ADA ImgSvr Template参数远程目录遍历漏洞
返回列表 发新帖
查看: 1204|回复: 0

ADA ImgSvr Template参数远程目录遍历漏洞

[复制链接]
烽火ㄨ飞狐

286

主题

75

回帖

491

牛毛

一级牛人

車菿山偂^︶ㄣ咇侑潞﹏﹖.

积分
491
发表于 2007-12-31 00:31:30 | 显示全部楼层 |阅读模式 来自 内蒙古兴安盟乌兰浩特市
受影响系统:

ADA ImgSvr 0.6.5

ADA ImgSvr 0.6.21

描述:

--------------------------------------------------------------------------------

BUGTRAQ ID: 24***53

Ada Image Server是一个嵌入式WEB服务器,主要用于对图片发布进行优化处理。

Ada Image Server的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞进行目录遍历攻击。

Ada Image Server没有正确地验证对template参数的输入,允许远程攻击者提交恶意请求执行目录遍历攻击,导致从受影响系统下载任意文件。

<*来源:Luigi Auriemma (aluigi@pivx.com



链接:http://secunia.com/advisories/28234/

    http://aluigi.altervista.org/adv/imgsvr-adv.txt

*>

测试方法:

--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

GET /?template=../../../../../../../../../../etc/passwd HTTP/1.0

建议:

--------------------------------------------------------------------------------

厂商补丁:

ADA

---

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://adaimgsvr.sourceforge.net/
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 开放注册

本版积分规则

帮助|Archiver|小黑屋|通信管理局专项备案号:[2008]238号|NB5用户社区 ( 皖ICP备08004151号;皖公网安备34010402700514号 )

GMT+8, 2025-1-11 02:37 , Processed in 0.117879 second(s), 23 queries , Yac On.

Powered by Discuz! X3.5

快速回复 返回顶部 返回列表