linux遍历目录漏洞,Mutiny 多个目录遍历漏洞(CVE-2013-0136)

最新推荐文章于 2023-01-14 20:45:00 发布
最新推荐文章于 2023-01-14 20:45:00 发布
阅读量192 收藏
点赞数
文章标签: linux遍历目录漏洞

发布日期:2013-05-15

更新日期:2013-06-02

受影响系统:

Mutiny Mutiny 5

描述:

--------------------------------------------------------------------------------

BUGTRAQ  ID: 59883

CVE(CAN) ID: CVE-2013-0136

Mutiny是监控诸如服务器、交换机、路由器、打印机等网络附加设备的独立设备。

Mutiny 5中存在代码执行漏洞,EditDocument服务程序使用了一个文件上传函数验证用户身份。该函数存在目录遍历漏洞,可造成任意文件上传,导致以root权限执行任意代码。要利用此漏洞,需要Web前端的有效用户权限。

链接:http://packetstormsecurity.com/files/121656/Mutiny-5-Arbitrary-File-Upload.html

https://community.rapid7.com/community/metasploit/blog/2013/05/15/new-1day-exploits-mutiny-vulnerabilities

*>

建议:

--------------------------------------------------------------------------------

厂商补丁:

Mutiny

------

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.mutiny.com/releasehistory.php0b1331709591d260c1c78e86d0c51c18.png

weixin_39784195
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
quarkus-mutiny
04-03
目录攻击详解
metheir的博客
01-08 8271
对于一个安全的Web服务器来说,对Web内容进行恰当的访问控制是极为关键的。目录是Http所存在的一个安全漏洞,它使得攻击者能够访问受限制的目录,并在Web服务器的根目录以外执行命令。   Web服务器主要提供两个级别的安全机制:   访问控制列表——就是我们常说的ACL   根目录访问   访问控制列表是用于授权过程的,它是一个Web服务器的管理员用来说明什么用户或用
路径遍与文件读取漏洞以及其修复方案
热门推荐
pygain的博客
10-17 3万+
一些网站的业务需求,可能提供文件查看或下载功能,如果对用户查看或下载的文件不做限制,那么用户就能够查看和下载任意2文件,可以使源代码文件、敏感文件等
目录攻击
大菜鸟的博客
02-11 2万+
原文地址:https://en.wikipedia.org/wiki/Directory_traversal_attack【译】目录攻击一次目录攻击(directory traversal attack)通常利用了“服务器安全认证缺失”或者“用户提供输入的文件处理操作”,使得服务器端文件操作接口执行了带有“遍父文件目录”意图的恶意输入字符。 这种攻击的目的通常是利用服务器相关(存在安全漏
目录漏洞
xsyu_liuyan的博客
03-16 1万+
一. 什么是目录漏洞 目录(路径遍)是由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使web根目录以外的文件),甚至执行系统命令。 二. 目录漏洞原理 程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍服务器上
java 目录漏洞_CVE-2006-5750 JBoss Java Class DeploymentFileRepository目录漏洞-漏洞情报、漏洞详情、安全漏洞、CVE - 安全客,安...
weixin_42511270的博客
02-26 426
|参考资料来源:BID名称:21219链接:http://www.securityfocus.com/bid/21219来源:REDHAT名称:RHSA-2006:0743链接:http://www.redhat.com/support/errata/RHSA-2006-0743.html来源:VUPEN名称:ADV-2006-4724链接:http://www.frsirt.com/englis...
mutiny-www-wp
06-08
www-mutiny-wp - MUTINY Tahiti 基于 WordPress 的网站项目 : MUTINY Tahiti 的网站版权所有 (C) 2015 - Mutiny Tahiti & Francky's版权所有
mutiny-bot:一种让用户能够对其他用户的惩罚性行为进行投票的不和谐机器人
02-11
叛变机器人 一个使用户能够对其他用户的惩罚性行为投票的不和谐机器人。...mutiny @username#id命令在没有主持人的情况下暂时使有问题的用户静音。 主持人可以使用!forgive @username#id在警告后赦免用户。
quarkus-todo-app:实现todo后端并将vuejs用作前端
05-26
e POSTGRES_DB=rest-crud \ -p 5432:5432 postgres:13.1强制性应用 cd quarkus-todomvn compile quarkus:dev 打开: React性应用这个版本使用了Hibernate Reactive,RESTEasy Reactive和Mutiny。 cd quarkus-todo...
mutiny:可重用的声明性HTML5小部件
05-01
mutiny.js ... 我们也是!... 用法 安装Mutiny。 我们使用: $ bower install --save mutinyMutiny加载到页面中: ... script src =' bower_... < span data-mutiny-text-select =''> Click me to select all 观看
CVE-2021-41773目录(文件穿越)漏洞复现
qq_59826623的博客
10-11 1683
CVE-202141773目录(文件穿越)漏洞 Linux环境下 进入CVE-202141773漏洞环境文件夹,执行docker-compose up -d启动漏洞环境。 等待文件下载…… 安装完成后重启服务 访问本地的8080端口 打开Burpsuite,构造get参数 GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1 转换为post参数 修改命令为POST /cgi-bin/.%2e/%2e
从0到1完全掌握目录漏洞
hackzkaq的博客
04-07 290
零基础学黑客,搜索公众号:白帽子左一 什么是目录漏洞 目录漏洞是由于网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站很多隐私文件与目录泄露。 比如数据库备份文件、配置文件等,攻击者利用该信息可以为进一步入侵网站做准备。 简单来说,我个人认为目录更像是一种 trick,是一种可以配合其他攻击一起使用的 trick,利用方法高于 CSRF 与 CORS。 早在最早接触的 dirb、御剑、Burpsuite 中的目录爆破工具,如果能扫出一些存在/存活的目录,其实就是目录漏洞的一种。 总
Lanproxy 路径遍漏洞 (CVE-2021-3019)
thelostworld
01-11 805
Lanproxy 路径遍漏洞 (CVE-2021-3019) 一、漏洞简介 Lanproxy是一个将局域网个人电脑、服务器代理到公网的内网穿透工具,支持tcp流量转发,可支持任何tcp上层协议(访问内网网站、本地支付接口调试、ssh访问、远程桌面等等)本次Lanproxy 路径遍漏洞(CVE-2021-3019)通过../绕过读取任意文件。该漏洞允许目录读取/../conf/config.properties来获取到内部网连接的凭据。 二、影响版本 lanproxy 0.1 三、漏洞...
Java防御目录穿越漏洞方法_Elasticsearch漏洞汇总
weixin_33467739的博客
03-01 1480
简介Elasticsearch是一个开源的分布式、RESTful 风格的搜索和数据分析引擎,它的底层是开源库Apache Lucene。Lucene 可以说是当下最先进、高性能、全功能的搜索引擎库——无论是开源还是私有,但它也仅仅只是一个库。为了充分发挥其功能,你需要使用 Java 并将 Lucene 直接集成到应用程序中。 更糟糕的是,您可能需要获得信息检索学位才能了解其工作原理,因为Lucen...
漏洞目录漏洞
angry_program的博客
01-10 2381
目录漏洞 目录, 也叫路径遍,由于web服务器或者web应用程序对用户输入的文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件 (可以是web根目录以外的文件),甚至可以执行系统命令。 原理 程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍服务器上的任意文件。...
Web 安全漏洞目录
GJ_ia的博客
01-14 514
第一次接触到目录漏洞还是在 ThinkJS 2 的时候。代码如下图,目的是当用户访问的 URL 是静态资源的时候返回静态资源的地址。其中pathname就是用户访问的 URL 中的路径,我们发现代码中只是简单的解码之后就在22行将其与资源目录做了拼接,这就是非常明显的目录漏洞了。为什么这么说呢?假设用户访问的 URL 是的话最终返回的文件地址就会变成的上三层目录中的文件了。
Spring Boot 目录CVE-2021_21234)
小小猪的博客
12-31 4258
Spring Boot 目录CVE-2021_21234) 漏洞简介: spring-boot-actuator-logview 在一个库中添加了一个简单的日志文件查看器作为 spring boot 执行器端点。它是 maven 包“eu.hinsch:spring-boot-actuator-logview”。在 0.2.13 版本之前的 spring-boot-actuator-logview 中存在目录漏洞。该库的本质是通过 admin(spring boot 执行器)HTTP 端
ctfshow大部分wp(附带个人整理知识笔记)
ZxC789456302的博客
10-01 6806
WEB信息搜集入门(前10道都是水题,10题后没有水题了)源码中即为flag(签到题)前端js拦截,查看源代码即可,得到flagflag在响应头里面在访问robots.txt,得知存在flagishere.txt文件,访问获得flagphps源码泄露,访问index.phps,下载文件打开得到flag访问www.zip获取配置文件得知在服务器下存在fl000g.txt,线上访问得到flag访问.git(隐藏文件)注意格式为/.git/,得到flag隐藏文件的第二种情况,访问.svn,格式为/.svn/,得到
quarkus 抛异常 Attempting a blocking read on io thread该如何解决,请举例
最新发布
06-07
1. 使用 Quarkus 提供的异步 API,例如 Uni 和 Mutiny,来执行异步 I/O 操作。例如,使用 Mutiny 的 `Uni` 类,可以使用 `Uni.createFrom().item(() -> yourAsyncMethod())` 方法将异步方法转换为 Uni 对象,从而在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值