CGI 汎用パストラバーサル(write test)
medium Nessus プラグイン ID 46194
Language:
概要
任意のファイルがリモートホストで修正される可能性があります。説明
リモート Web サーバーは、リクエスト文字列を適切にサニタイズできず、ディレクトリトラバーサルまたはローカルファイルインクルージョンの脆弱性の影響を受ける CGI 文字列をホストしています。攻撃者はこの問題を利用することで、Web サーバー上の任意のファイルを修正したり、コマンドを実行する可能性があります。
この欠陥がテストされる方法により、このスクリプトは偽陽性になりやすい傾向があります。
ソリューション
脆弱なアプリケーションへのアクセスを制限してください。パッチまたはアップグレードについては、ベンダーにお問い合わせください。参考資料
https://en.wikipedia.org/wiki/Directory_traversal
http://cwe.mitre.org/data/definitions/22.html
http://projects.webappsec.org/w/page/13246952/Path%20Traversal
http://projects.webappsec.org/w/page/13246949/Null%20Byte%20Injection
プラグインの詳細
深刻度: Medium
ID: 46194
ファイル名: torture_cgi_dir_trav_W.nasl
バージョン: 1.19
タイプ: remote
ファミリー: CGI abuses
公開日: 2010/4/30
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
CVSS v2
リスクファクター: Medium
基本値: 6.4
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:P
脆弱性情報
必要な KB アイテム: Settings/enable_web_app_tests
参照情報
OWASP: OWASP-AZ-001