検出

プラグイン

Nessus ファミリー

WAS ファミリー

プラグインファミリーについて

インジケーター

攻撃インジケーター

露出インジケーター

CGI 汎用パストラバーサル（クイックテスト）

medium Nessus プラグイン ID 50494

Language:

概要

リモートホスト上で任意のファイルがアクセスまたは実行される可能性があります。

説明

リモートの Web サーバーは、リクエスト文字列を適切にサニタイズしない　CGI スクリプトをホストしており、ディレクトリトラバーサルまたはローカルファイルインクルージョンの脆弱性の影響を受けます。

攻撃者はこの問題を利用することで、Web サーバー上の任意のファイルを読み取ったり、コマンドを実行する可能性があります。

ソリューション

脆弱なアプリケーションへのアクセスを制限してください。パッチまたはアップグレードについては、ベンダーにお問い合わせください。

参考資料

https://en.wikipedia.org/wiki/Directory_traversal

http://projects.webappsec.org/w/page/13246952/Path%20Traversal

http://projects.webappsec.org/w/page/13246949/Null%20Byte%20Injection

http://www.nessus.org/u?70f7aa09

プラグインの詳細

深刻度: Medium

ID: 50494

ファイル名: torture_cgi_quick_dir_trav.nasl

バージョン: 1.19

タイプ: remote

ファミリー: CGI abuses

公開日: 2010/11/5

更新日: 2021/1/19

サポートされているセンサー: Nessus

脆弱性情報

必要な KB アイテム: Settings/enable_web_app_tests

参照情報

CWE: 21, 22, 632, 715, 723, 813, 928, 932

OWASP: OWASP-AZ-001