漏洞起因
设计错误
危险等级
低
影响系统
Cherokee 0.x
不受影响系统
危害
远程攻击者可以利用漏洞操作部分数据。
攻击所需条件
攻击者必须访问Cherokee。
漏洞信息
Cherokee是一款HTTPD服务程序。
由于Cherokee记录HTTP请求中的终端转义序列,攻击者提交恶意请求,可当用户通过"Cat"之类命令显示Cherokee日志时,传递控制字符到终端模拟器中。
可能导致恶意用户操作部分数据。
测试方法
厂商解决方案
Cherokee 0.99.34及之后版本已经修复此漏洞,建议用户下载使用:
http://www.cherokee-project.com/downloads.html
漏洞提供者
Giovanni "evilaliv3" Pellerano, Alessandro "jekil" Tanasi, and Francesco "ascii" Ongaro
0 条评论。