添加时间:
2005-08-17

系统编号:
WAVDB-00504
BugCVE: CAN-2005-2357
BUGTRAQ: 14487

影响版本:
EMC Navisphere Manager 6.4-6.6

程序介绍:

EMC Navisphere Manager是基于WEB的存储管理系统。

漏洞分析:

EMC Navisphere Manager中存在目录遍历和信息泄漏漏洞，未经授权的远程用户可以通过使用目录遍历字符串“../”泄漏任意本地文件内容。
起因是没有正确的过滤用户输入。攻击者还可以通过在请求末尾添加“.”获得任意目录的内容。


漏洞利用:

http://www.example.com/../../../../../../../EMC/NAVISPHERE/common/log/navimon.log

 

 

解决方案:
厂商补丁：
EMC
---
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
http://www.emc.com/products/storage_management/navisphere.jsp

信息来源:
<*来源：iDEFENSE *>