Veri-NAC URI处理远程目录遍历漏洞

文章由LinuxBoy分享于2019-04-02 10:04:55热评（636）

Veri-NAC URI处理远程目录遍历漏洞

发布日期：2011-06-07
更新日期：2011-06-07

受影响系统：
Black Box Veri-NAC Black Box Veri-NAC 8.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 48131

Veri-NAC是一款网络控制存取设备。

Veri-NAC在实现上存在URI处理目录遍历漏洞，远程攻击者可利用此漏洞获取系统相关的敏感信息。

程序对URL中包含的参数数据缺少充分的检查过滤，攻击者通过提交包含目录遍历序列的请求可以获得任意文件内容。另外，其Active目录验证信息以不安全的明文方式存储。

<*来源：Mikael Simovits

链接：http://secunia.com/advisories/44757/
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Black Box Veri-NAC
------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.blackbox.com/Store/Results.aspx/Networking/Network-Access-Control-NAC/n-4294954268/p-9

推荐文章：

Veri-NAC URI处理远程目录遍历漏洞