IPCheck Server Monitor 目录遍历漏洞 (CVE-2006-4140)

关键漏洞信息 漏洞类型: 目录遍历漏洞 受影响软件: IPCheck Monitor Server 发布日期: 2006-08-16 报告者: auuw73 风险等级: 中等 CVE: CVE-2006-4140 CWE: CWE-Other 漏洞概述 在IPCheck Server Monitor免费版、试用版和专业版中发现了一个目录遍历漏洞，潜在攻击者可能利用此漏洞从底层操作系统中检索文件。 描述 用户提供的URL中的输入验证错误使得可以通过目录遍历攻击获取系统根驱动器上的文件，使用典型的十六进制Unicode和双解码目录遍历字符串。 示例 受影响版本 IPCheck Server Monitor 4.3.1.368 IPCheck Server Monitor 4.3.1.382 IPCheck Server Monitor 5.1.0.342 IPCheck Server Monitor 5.2.0.404 IPCheck Server Monitor 5.3.0.508 IPCheck Server Monitor 5.3.2.609 (当前版) 只在Windows Server 2003平台下测试，其它平台也可能会受到影响。 影响 该特定URL会显示系统root目录上的boot.ini文件。类似系列的字符串也可能被攻击者用来访问包含用于访问数据库的用户名和密码的firebird数据库配置文件。 解决方案 该产品的供应商已被告知此漏洞，但自第一个易受攻击版本（4.3.1.368）检测以来，尚未发布任何修补程序或更新。 独立漏洞测试者 Tassi Raeburn

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

IPCheck Server Monitor 目录遍历漏洞 (CVE-2006-4140)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！