CVE-2005-1201漏洞详情 - SCAP中文社区

CVE-2005-1201

CVSS

6.4

发布时间 :2005-05-02 00:00:00

修订时间 :2017-07-10 21:32:35

NMCO

[原文]Multiple directory traversal vulnerabilities in AZ Bulletin board (AZbb) before 1.0.08 allow (1) remote authenticated users with administrative privileges to delete arbitrary files via a .. (dot dot) in the URL to admin_avatar.php or admin_attachment.php or (2) remote attackers to enumerate files via a .. (dot dot) in the attachment parameter to attachment.php, which displays a different message when a file exists or does not exist.

[CNNVD]MAZ Bulletin board (AZbb) 1.0.08目录遍历漏洞(CNNVD-200505-347)

MAZ Bulletin board (AZbb) 1.0.08版本中的多个目录遍历漏洞，允许(1)具有管理员权限的远程验证用户通过admin_avatar.php或admin_attachment.php的URL中的..(参数中包含'..')来删除任意文件，或允许(2)远程攻击者通过attachment.php的attachment参数中的..(参数中包含'..')来枚举文件，从而在文件存在或不存在的情况下显示相反的消息。

NVD
CNNVD
OSVDB

- CVSS (基础分值)

CVSS分值:	6.4	[中等(MEDIUM)]
机密性影响:		[--]
完整性影响:		[--]
可用性影响:		[--]
攻击复杂度:		[--]
攻击向量:		[--]
身份认证:		[--]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-1201 (官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2005-1201 (官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200505-347 (官方数据源) CNNVD

- 其它链接及资源

http://azbb.cyaccess.com/azbb.php?1091778548
(PATCH) CONFIRM http://azbb.cyaccess.com/azbb.php?1091778548

http://marc.info/?l=bugtraq&m=111401838521857&w=2
(UNKNOWN) BUGTRAQ 20050420 Multiple Security Issues Found In AZBB

http://www.gulftech.org/?node=research&article_id=00068-04192005
(UNKNOWN) MISC http://www.gulftech.org/?node=research&article_id=00068-04192005

https://exchange.xforce.ibmcloud.com/vulnerabilities/20180
(UNKNOWN) XF az-bulletin-board-file-modification(20180)

https://exchange.xforce.ibmcloud.com/vulnerabilities/20183
(UNKNOWN) XF az-bulletin-board-file-existence(20183)

- 漏洞信息

漏洞名称:MAZ Bulletin board (AZbb) 1.0.08目录遍历漏洞
紧急程度:中危	漏洞类型:路径遍历
发布日期:2005-05-02 00:00:00	更新日期:2005-10-20 00:00:00
攻击路径:远程
详细介绍:
MAZ Bulletin board (AZbb) 1.0.08版本中的多个目录遍历漏洞，允许(1)具有管理员权限的远程验证用户通过admin_avatar.php或admin_attachment.php的URL中的..(参数中包含'..')来删除任意文件，或允许(2)远程攻击者通过attachment.php的attachment参数中的..(参数中包含'..')来枚举文件，从而在文件存在或不存在的情况下显示相反的消息。

- 公告与补丁

暂无数据

- 漏洞信息

OSVDBID: 15701
漏洞名称:AZ Bulletin Board admin_avatar.php Arbitrary File Deletion
漏洞位置: Remote / Network Access	利用方式: Input Manipulation
漏洞影响:Loss of Availability	解决方式:Upgrade
漏洞利用:Exploit Public	公开方式:Vendor Verified

- 漏洞描述

AZ Bulletin Board contains a flaw that may allow a malicious admin to delete arbitrary files. The issue is triggered when an input validation error occurs in admin_avatar.php. It is possible that the flaw may allow arbitrary file deletion resulting in a loss of availability.

- 时间线

公开日期: 2005-04-19	发现日期: Unknow
利用日期:2005-04-19	解决日期:Unknow

- 解决方案

Upgrade to version 1.0.08 or higher, as it has been reported to fix this vulnerability. An upgrade is required as there are no known workarounds.

- 相关参考

Secunia Advisory ID: 15013
Related OSVDB ID: 15700 15702 15703
CVE ID: 2005-1201 (see also: NVD)
ISS X-Force ID: 20180
Other Advisory URL: http://archives.neohapsis.com/archives/bugtraq/2005-04/0294.html
http://www.gulftech.org/?node=research&article_id=00068-04192005
Vendor URL: http://azbb.cyaccess.com/
Vendor Specific News/Changelog Entry: http://azbb.cyaccess.com/azbb.php?1091778548
Mail List Post: http://marc.theaimsgroup.com/?l=bugtraq&m=111401838521857&w=2

- 漏洞作者

CVE数据库

检索CVE

关于CVE

CVE资源

Wise Words

活着就是为了改变世界，难道还有其他原因吗？

-- Steve Jobs

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息，请查阅[关于本站]。

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标，它们的官方数据源均保存在MITRE公司的相关网站。

CVE 通用漏洞与披露Common Vulnerabilities and Exposures

- CVSS (基础分值)

- CPE (受影响的平台与产品)

- OVAL (用于检测的技术细节)

- 官方数据库链接

- 其它链接及资源

- 漏洞信息

- 公告与补丁

- 漏洞信息

- 漏洞描述

- 时间线

- 解决方案

- 相关参考

- 漏洞作者

CVE数据库

检索CVE

关于CVE

CVE资源

Wise Words

关于SCAP中文社区

版权声明