NVD Vulnerability Detail

CVE-2006-6104

Summary	The System.Web class in the XSP for ASP.NET server 1.1 through 2.0 in Mono does not properly verify local pathnames, which allows remote attackers to (1) read source code by appending a space (%20) to a URI, and (2) read credentials via a request for Web.Config%20.
Publication Date	Dec. 22, 2006, 4:28 a.m.
Registration Date	Jan. 29, 2021, 3:50 p.m.
Last Update	Oct. 18, 2018, 6:46 a.m.

Affected software configurations

Related information, measures and tools

No	URL	refsource	タグ
1	http://fedoranews.org/cms/node/2400	FEDORA
2	http://fedoranews.org/cms/node/2401	FEDORA
3	http://lists.suse.com/archive/suse-security-announce/2007-Jan/0002.html	SUSE
4	http://secunia.com/advisories/23432	SECUNIA	Exploit Patch Vendor Advisory
5	http://secunia.com/advisories/23435	SECUNIA	Patch Vendor Advisory
6	http://secunia.com/advisories/23462	SECUNIA	Patch Vendor Advisory
7	http://secunia.com/advisories/23597	SECUNIA
8	http://secunia.com/advisories/23727	SECUNIA
9	http://secunia.com/advisories/23776	SECUNIA
10	http://secunia.com/advisories/23779	SECUNIA
11	http://security.gentoo.org/glsa/glsa-200701-12.xml	GENTOO
12	http://securityreason.com/securityalert/2082	SREASON
13	http://securitytracker.com/id?1017430	SECTRACK
14	http://www.eazel.es/advisory007-mono-xsp-source-disclosure-vulnerability.html	MISC	Exploit
15	http://www.mandriva.com/security/advisories?name=MDKSA-2006:234	MANDRIVA	Patch Vendor Advisory
16	http://www.securityfocus.com/archive/1/454962/100/0/threaded	BUGTRAQ
17	http://www.securityfocus.com/bid/21687	BID	Exploit Patch
18	http://www.ubuntu.com/usn/usn-397-1	UBUNTU	Patch
19	http://www.vupen.com/english/advisories/2006/5099	VUPEN
20	https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.oval%3Adef%3A2092	OVAL

Common Vulnerabilities List

JVN Vulnerability Information

Mono の ASP.NET サーバの XSP におけるソースコードを読まれる脆弱性

Title	Mono の ASP.NET サーバの XSP におけるソースコードを読まれる脆弱性
Summary	Mono の ASP.NET サーバの XSP の System.Web クラスには、ローカルパス名を適切に検証しないため、以下の脆弱性が存在します。 (1) ソースコードを読まれる (2) 資格情報を読まれる
Possible impacts	第三者により、以下の可能性があります。 (1) URI へのスペース (%20) を追加されることで、ソースコードを読まれる (2) Web.Config%20 に対するリクエストを介して、資格情報を読まれる
Solution	ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date	Dec. 21, 2006, midnight
Registration Date	Sept. 25, 2012, 3:36 p.m.
Last Update	Sept. 25, 2012, 3:36 p.m.

Affected System

Mono Project

xsp 1.1 から 2.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2006-6104	http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-6104
National Vulnerability Database (NVD)
2	CVE-2006-6104	http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2006-6104

ベンダー情報

No	Name	URL
mono
1	Top Page	http://www.mono-project.com/

Change Log

No	Changed Details	Date of change
0	[2012年09月25日] 掲載	Feb. 17, 2018, 10:37 a.m.