Dwarf HTTP Server中存在源码泄漏及跨站脚本漏洞
日期:2006-10-31 荐:
受影响系统:
GNOME Dwarf HTTP Server 1.3.2不受影响系统:
GNOME Dwarf HTTP Server 1.3.3描述: Dwarf HTTP Server是一款简单易用的免费Web Server。 Dwarf HTTP Server中存在信息泄漏和跨站脚本漏洞,如下:1) 由于没有正确地验证URL中用户所提供的文件名扩展,导致攻击者可以通过包含有逗号、空格、斜线和空字符的特制请求从服务器检索JSP文件的源码。2) 在向用户返回错误消息之前没有过滤URL的输入,导致攻击者可以在用户浏览器会话环境中执行任意HTML和脚本代码。补丁下载:http://www.gnome.org/
标签: