HTTP File Server 多个目录遍历漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1187832 漏洞类型 路径遍历
发布时间 2008-01-28 更新时间 2008-09-05
CVE编号 CVE-2008-0405 CNNVD-ID CNNVD-200801-412
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200801-412
|漏洞详情
HTTPFileServer是一款专为个人用户所设计的HTTP文件服务器,它提供虚拟档案系统,支持新增、移除虚拟档案资料夹等。HFS使用用户名做为日志文件的文件名时,允许远程攻击者通过一个带有..的账号名创建任意文件和目录,并且使用/URI中包含"/?%0a"时可以通过带有..的账号名向任意文件追加数据。
|参考资料

来源:XF
名称:hfs-unspecified-command-execution(39873)
链接:http://xforce.iss.net/xforce/xfdb/39873
来源:MISC
链接:http://www.syhunt.com/advisories/hfshack.txt
来源:BID
名称:27423
链接:http://www.securityfocus.com/bid/27423
来源:BUGTRAQ
名称:20080123Syhunt:HFS(HTTPFileServer)LogArbitraryFile/DirectoryManipulationandDenial-of-ServiceVulnerabilities
链接:http://www.securityfocus.com/archive/1/archive/1/486873/100/0/threaded
来源:MISC
链接:http://www.rejetto.com/hfs/?f=wn
来源:SECUNIA
名称:28631Type:Advisory
链接:http://secunia.com/advisories/28631
来源:SREASON
名称:3581
链接:http://securityreason.com/securityalert/3581