LocalWEB2000 es un servidor HTTP para Windows que se ve afectado por
una conocida vulnerabilidad, la cual permite visualizar cualquier
fichero del sistema de forma remota desde un simple navegador.
Este servidor web está diseñado en principio para entornos de intranet
de pequeño tamaño, la vulnerabilidad permite que un atacante pueda
conseguir acceso de lectura a cualquier archivo del servidor con
nombre y trayectoria conocida.
El problema reside una vez más en la posibilidad de emplear la cadena
«../» para subir niveles de directorios fuera del ámbito público del
web.
Esta vulnerabilidad genera un grave peligro para la integridad de
los sistemas que empleen este servidor, ya que podrá ser empleado
para obtener la suficiente información del sistema (archivos de
configuración, passwords, etc.) como para posibilitar el compromiso
total del sistema.
antonio_roman@hispasec.com
Más información:
LocalWEB2000
http://www.intranet-server.co.uk/
LocalWEB2000 Directory Traversal Vulnerability
http://www.securityfocus.com/bid/2268
Deja una respuesta