漏洞起因
设计错误
危险等级
中
影响系统
RhinoSoft Serv-U 9.0 .5
RhinoSoft Serv-U 9.3.0.1
RhinoSoft Serv-U 9.2.0.1
RhinoSoft Serv-U 9.1.0.4
RhinoSoft Serv-U 9.1.0.2
RhinoSoft Serv-U 9.1.0.0
RhinoSoft Serv-U 9.0.0.1
不受影响系统
RhinoSoft Serv-U 9.4.0.0
危害
远程攻击者可以利用漏洞绕过安全限制建立超越权限的用户帐户或者获得敏感信息。
攻击所需条件
攻击者必须访问Serv-U。
漏洞信息
RhinoSoft Serv-U FTP Server是一款流行的FTP服务程序。
Serv-U存在多个安全漏洞,允许恶意用户绕过部分安全限制。
-当导入用户时存在错误,受限管理员可在HOME目录之外建立用户帐户。
-导出用户存在错误,受限管理员可泄漏用户HOME目录路径,虚拟路径和目录访问规则。
-授权域管理员存在错误可建立不锁定在HOME目录的用户或组。
测试方法
厂商解决方案
RhinoSoft Serv-U 9.4.0.0已经修复此漏洞,建议用户下载使用:
http://www.serv-u.com/
漏洞提供者
Serv-U
0 条评论。