漏洞起因
输入验证错误
危险等级
中
影响系统
Naxsi 0.x (module for Nginx)
不受影响系统
危害
远程攻击者可以利用漏洞以WEB上下文读取任意文件内容。
攻击所需条件
攻击者必须访问Naxsi。
漏洞信息
Naxsi是一款用于nginx的防火墙模块。
naxsi-ui/ nx_extract.py没有校验用于读取文件的部分输入,允许攻击者利用目录遍历漏洞以WEB权限读取系统任意文件内容。
测试方法
厂商解决方案
Naxsi 0.46-1已经修复此漏洞,建议用户下载使用:
http://code.google.com/p/naxsi/
漏洞提供者
vendor
评论关闭。