BackupPC ClientNameAlias()函数安全绕过漏洞 CVE-2009-3369 CNNVD-200909-481

8.5 AV AC AU C I A
发布: 2009-09-24
修订: 2009-10-31

当SSH keys和Rsync在一个多用户的环境下被使用时,BackupPC 3.1.0版本中的CgiUserConfigEdit没有限制来自ClientNameAlias函数的用户,这使得远程认证用户可以通过先修改ClientNameAlias来匹配另一个系统,然后再初始化一个文件备份或重新储存,从而实现读取和写敏感文件。

0%

漏洞利用/PoC

当前有2条漏洞利用/PoC

受影响的平台与产品

当前有1条受影响产品信息