Trac文本格式报表信息泄露漏洞

漏洞起因
设计错误
 
影响系统
Trac 0.x
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感信息。
 
攻击所需条件
攻击者必须访问Trac。
 
漏洞信息
Trac是一款用Python编写的基于Web的事件跟踪系统。
当在生成逗号分隔或制表符分隔文本格式时,Trac没有强制使用部分策略,攻击者可以利用漏洞无需特殊权限从票单中获得敏感信息。
 
测试方法
 
厂商解决方案
Edgewall Software Trac 0.11.6已经修复此漏洞,建议用户下载使用:
http://trac.edgewall.org/browser/tags/trac-0.11.6/RELEASE
 
漏洞提供者
vendor

发表评论?

0 条评论。

发表评论