New Atlanta ServletExec未授权访问漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201575 漏洞类型 访问验证错误
发布时间 2004-06-30 更新时间 2009-07-12
CVE编号 CVE-2004-0650 CNNVD-ID CNNVD-200408-058
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
https://www.securityfocus.com/bid/10639
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200408-058
|漏洞详情
CiscoCollaborationServer使用了NewAtlanta提供的ServletExec子组件。早于5.0的CCS服务程序包含的ServletExec存在访问验证错误,远程攻击者可以利用这个漏洞上传文件并获得管理员权限。通过ServletExec,攻击者可以上传文件到WEB服务器,并调用它们。攻击者可以提交http:///servlet/UploadServletURL请求来判断漏洞是否存在,如果结果是NullPointerException,那么表示漏洞存在,如果显示'PageNotFounderror',表示漏洞不存在。
|受影响的产品
Cisco Collaboration Server 4.0 Cisco Collaboration Server 3.0 2 Cisco Collaboration Server 3.0 1 Cisco Collaboration Server 3.0
|参考资料

来源:US-CERTVulnerabilityNote:VU#718896
名称:VU#718896
链接:http://www.kb.cert.org/vuls/id/718896
来源:BID
名称:10639
链接:http://www.securityfocus.com/bid/10639
来源:XF
名称:ccs-servletexec-gain-privileges(16553)
链接:http://xforce.iss.net/xforce/xfdb/16553
来源:CISCO
名称:20040630CiscoCollaborationServerVulnerability
链接:http://www.cisco.com/warp/public/707/cisco-sa-20040630-CCS.shtml
来源:SECUNIA
名称:11979
链接:http://secunia.com/advisories/11979/