CVE-2004-1878
CVSS5.0
发布时间 :2004-03-30 00:00:00
修订时间 :2016-10-17 23:02:15
NMCOE    

[原文]LINBOX LIN:BOX allows remote attackers to bypass authentication, obtain sensitive information, or gain access via a direct request to admin/user.pl preceded by // (double leading slash).


[CNNVD]LinBit Technologies LINBOX Officeserver远程验证绕过漏洞(CNNVD-200403-139)

        
        LINBOX提供完成的IT解决方案,包括如防火墙,文件,邮件,代理服务器等。
        LINBOX的管理脚本存在设计错误,远程攻击者可以利用这个漏洞绕过验证未授权访问系统。
        LINBOX默认在8080口包含基于WEB的管理接口,默认Internet可连接,管理访问需要用户名和密码,但是攻击者可直接提交//admin/user.pl请求绕过验证,直接访问管理功能。
        另外通过访问users.pl,直接点击编辑,可从页面源代码中获得用户密码信息。而且这些帐户信息又是系统帐户可直接通过SSH等接口访问。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1878
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2004-1878
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200403-139
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=bugtraq&m=108067245401673&w=2
(UNKNOWN)  BUGTRAQ  20040330 Linbit linbox Multiple Vulnerabilities
http://www.securityfocus.com/bid/10010
(VENDOR_ADVISORY)  BID  10010
http://www.websec.org/adv/linbit.txt.html
(VENDOR_ADVISORY)  MISC  http://www.websec.org/adv/linbit.txt.html
http://xforce.iss.net/xforce/xfdb/15677
(VENDOR_ADVISORY)  XF  linbox-slashslash-security-bypass(15677)

- 漏洞信息

LinBit Technologies LINBOX Officeserver远程验证绕过漏洞
中危 访问验证错误
2004-03-30 00:00:00 2005-10-20 00:00:00
远程  
        
        LINBOX提供完成的IT解决方案,包括如防火墙,文件,邮件,代理服务器等。
        LINBOX的管理脚本存在设计错误,远程攻击者可以利用这个漏洞绕过验证未授权访问系统。
        LINBOX默认在8080口包含基于WEB的管理接口,默认Internet可连接,管理访问需要用户名和密码,但是攻击者可直接提交//admin/user.pl请求绕过验证,直接访问管理功能。
        另外通过访问users.pl,直接点击编辑,可从页面源代码中获得用户密码信息。而且这些帐户信息又是系统帐户可直接通过SSH等接口访问。
        

- 公告与补丁

        厂商补丁:
        LinBit Technologies
        -------------------
        目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
        LinBit Technologies LINBOX Officeserver :
        LinBit Technologies Patch linbox-sa1.patch
        
        http://linbox.linbit.at/patches/linbox-sa1.patch

- 漏洞信息 (23897)

LinBit Technologies LINBOX Officeserver Remote Authentication Bypass Vulnerability (EDBID:23897)
cgi webapps
2004-03-30 Verified
0 Martin Eiszner
N/A [点击下载]
source: http://www.securityfocus.com/bid/10010/info

It has been reported that LINBOX is prone to a remote authentication bypass vulnerability. This issue is due to a design error that would allow access to web based administration scripts without proper authorization.

This issue may allow unauthorized user to gain access to the administration scripts of the affected system.

Issuing the following request to the affected server will provide access to the administration interface:
http://www.example.com//admin/user.pl 		

- 漏洞信息

4761
LIN:BOX admin/user.pl Direct Request Authentication Bypass
Remote / Network Access Information Disclosure
Loss of Confidentiality

- 漏洞描述

- 时间线

2004-03-31 Unknow
Unknow Unknow

- 解决方案

Products

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站