CERTA-2003-AVI-065
Vulnerability from certfr_avis - Published: - Updated:
Une vulnérabilité présente dans le moteur de recherche aurweb de la société Auracom permet à un utilisateur mal intentionné de parcourir l'arborescence du serveur sur lequel se trouve installé le programme aurweb.
Description
Le moteur de recherche aurweb de la société Auracom est capable d'effectuer une recherche sur des données textuelles ou structurées.
Une vulnérabilité présente sur le programme aurweb dans le mode « full text » permet à un utilisateur mal intentionné de parcourir l'arborescence du serveur et ainsi d'accéder en lecture aux fichiers se trouvant sur ce serveur.
Contournement provisoire
Mettre des restrictions sur l'accès aux répertoires contenant le module aurweb.
Solution
Contacter l'éditeur pour recevoir une mise à jour (cf. section
documentation).
La version du 18 mars corrige cette vulnérabilité.
Toutes les versions du produit aurweb antérieures à la version du 18 mars 2003.
| Vendor | Product | Description |
|---|
| Title | Publication Time | Tags | ||||||
|---|---|---|---|---|---|---|---|---|
|
||||||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cp\u003eToutes les versions du produit \u003cTT\u003eaurweb\u003c/TT\u003e ant\u00e9rieures \u00e0 la version du 18 mars 2003.\u003c/p\u003e",
"content": "## Description\n\nLe moteur de recherche aurweb de la soci\u00e9t\u00e9 Auracom est capable\nd\u0027effectuer une recherche sur des donn\u00e9es textuelles ou structur\u00e9es.\n\nUne vuln\u00e9rabilit\u00e9 pr\u00e9sente sur le programme aurweb dans le mode \u00ab full\ntext \u00bb permet \u00e0 un utilisateur mal intentionn\u00e9 de parcourir\nl\u0027arborescence du serveur et ainsi d\u0027acc\u00e9der en lecture aux fichiers se\ntrouvant sur ce serveur.\n\n## Contournement provisoire\n\nMettre des restrictions sur l\u0027acc\u00e8s aux r\u00e9pertoires contenant le module\naurweb.\n\n## Solution\n\nContacter l\u0027\u00e9diteur pour recevoir une mise \u00e0 jour (cf. section\ndocumentation). \nLa version du 18 mars corrige cette vuln\u00e9rabilit\u00e9.\n",
"cves": [],
"links": [
{
"title": "Site Internet de l\u0027\u00e9diteur Auracom :",
"url": "http://www.auracom.fr"
}
],
"reference": "CERTA-2003-AVI-065",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2003-03-27T00:00:00.000000"
}
],
"risks": [
{
"description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
}
],
"summary": "Une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans le moteur de recherche aurweb de la\nsoci\u00e9t\u00e9 Auracom permet \u00e0 un utilisateur mal intentionn\u00e9 de parcourir\nl\u0027arborescence du serveur sur lequel se trouve install\u00e9 le programme\naurweb.\n",
"title": "Vuln\u00e9rabilit\u00e9 sur le moteur de recherche \"Aurweb\" de la soci\u00e9t\u00e9 Auracom",
"vendor_advisories": [
{
"published_at": null,
"title": "Certa",
"url": null
}
]
}
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.