CERTA-2003-AVI-065
Vulnerability from certfr_avis
Une vulnérabilité présente dans le moteur de recherche aurweb de la société Auracom permet à un utilisateur mal intentionné de parcourir l'arborescence du serveur sur lequel se trouve installé le programme aurweb.
Description
Le moteur de recherche aurweb de la société Auracom est capable d'effectuer une recherche sur des données textuelles ou structurées.
Une vulnérabilité présente sur le programme aurweb dans le mode « full text » permet à un utilisateur mal intentionné de parcourir l'arborescence du serveur et ainsi d'accéder en lecture aux fichiers se trouvant sur ce serveur.
Contournement provisoire
Mettre des restrictions sur l'accès aux répertoires contenant le module aurweb.
Solution
Contacter l'éditeur pour recevoir une mise à jour (cf. section
documentation).
La version du 18 mars corrige cette vulnérabilité.
Toutes les versions du produit aurweb antérieures à la version du 18 mars 2003.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eToutes les versions du produit \u003cTT\u003eaurweb\u003c/TT\u003e ant\u00e9rieures \u00e0 la version du 18 mars 2003.\u003c/p\u003e",
"content": "## Description\n\nLe moteur de recherche aurweb de la soci\u00e9t\u00e9 Auracom est capable\nd\u0027effectuer une recherche sur des donn\u00e9es textuelles ou structur\u00e9es.\n\nUne vuln\u00e9rabilit\u00e9 pr\u00e9sente sur le programme aurweb dans le mode \u00ab full\ntext \u00bb permet \u00e0 un utilisateur mal intentionn\u00e9 de parcourir\nl\u0027arborescence du serveur et ainsi d\u0027acc\u00e9der en lecture aux fichiers se\ntrouvant sur ce serveur.\n\n## Contournement provisoire\n\nMettre des restrictions sur l\u0027acc\u00e8s aux r\u00e9pertoires contenant le module\naurweb.\n\n## Solution\n\nContacter l\u0027\u00e9diteur pour recevoir une mise \u00e0 jour (cf. section\ndocumentation). \nLa version du 18 mars corrige cette vuln\u00e9rabilit\u00e9.\n",
"cves": [],
"initial_release_date": "2003-03-27T00:00:00",
"last_revision_date": "2003-03-27T00:00:00",
"links": [
{
"title": "Site Internet de l\u0027\u00e9diteur Auracom :",
"url": "http://www.auracom.fr"
}
],
"reference": "CERTA-2003-AVI-065",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-03-27T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le moteur de recherche aurweb de la\nsoci\u00e9t\u00e9 Auracom permet \u00e0 un utilisateur mal intentionn\u00e9 de parcourir\nl\u0027arborescence du serveur sur lequel se trouve install\u00e9 le programme\naurweb.\n",
"title": "Vuln\u00e9rabilit\u00e9 sur le moteur de recherche \"Aurweb\" de la soci\u00e9t\u00e9 Auracom",
"vendor_advisories": [
{
"published_at": null,
"title": "Certa",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.