Ultraseek信息泄露及请求代理漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1192855 漏洞类型 输入验证
发布时间 2006-11-16 更新时间 2006-11-20
CVE编号 CVE-2006-5819 CNNVD-ID CNNVD-200611-289
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
https://www.securityfocus.com/bid/21120
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200611-289
|漏洞详情
Ultraseek是一款企业级的搜索引擎。Ultraseek中用于高亮显示蜘蛛抓取的页面中搜索条款的highlight脚本存在漏洞。攻击者可以直接访问/highlight/index.html中的highlight脚本,对其传送URL参数并检索内容。攻击者还可以滥用该脚本枚举其他情况下无法访问的内部地址和开放端口。Ultraseek的以下脚本还存在各种信息泄露漏洞:/help/urlstatusgo.html/help/header.html/help/footer.html/spell.html/coreforma.html/daterange.html/hits.html/hitsnavbottom.html/indexform.html/indexforma.html/languages.html/nohits.html/onehit1.html/onehit2.html/query.html/queryform0.html/queryform0a.html/queryform1.html/queryform1a.html/queryform2.html/queryform2a.html/quicklinks.html/relatedtopics.html/signin.html/subtopics.html/thesaurus.html/topics.html/hitspagebar.html/highlight/highlight.html/highlight/highlight_one.html/highlight/topnav.html通过认证的Ultraseek用户还可以通过/admin/logfile.txt脚本检索基础服务器中的任意文件内容。
|受影响的产品
Verity Inc. Ultraseek 5.3.3
|参考资料

来源:VU#559616
名称:VU#559616
链接:http://www.kb.cert.org/vuls/id/559616
来源:XF
名称:verity-ultraseek-highlight-info-disclosure(30311)
链接:http://xforce.iss.net/xforce/xfdb/30311
来源:MISC
链接:http://www.zerodayinitiative.com/advisories/ZDI-06-042.html
来源:MISC
链接:http://www.ultraseek.com/support/docs/RELNOTES.txt
来源:BUGTRAQ
名称:20061115ZDI-06-042:VerityUltraseekRequestProxyingVulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/451847/100/0/threaded
来源:OSVDB
名称:30286
链接:http://www.osvdb.org/30286
来源:OSVDB
名称:22892
链接:http://www.osvdb.org/22892
来源:BID
名称:21120
链接:http://www.securityfocus.com/bid/21120
来源:SECTRACK
名称:1017235
链接:http://securitytracker.com/id?1017235