Citrix Web Interface源码信息泄露漏洞

2010-03-21T00:00:00
ID SSV:19303
Type seebug
Reporter Root
Modified 2010-03-21T00:00:00

Description

BUGTRAQ ID: 38838

Citrix Web Interface是Citrix Presentation Server上使用的免费附件组件,允许用户使用浏览器连接到应用。

Citrix Web Interface的ClientScripts文件夹中的JavaScript文件包含有ASP.NET代码,Citrix ASPX文件会引用这些文件用于解析JS文件中的ASP.NET内容,解析后所生成的JavaScript内容在浏览器中ASPX页面显示。

远程用户可以直接通过浏览器访问Clientscripts文件夹中JavaScript文件的ASP.NET源码。这些文件出现在Content- Type: Text/HTML中并泄露ASP.NET代码。以下是文件的位置示例:

  1. /AccessPlatform/auth/clientscripts/cookies.js
  2. /AccessPlatform/auth/clientscripts/login.js

Citrix Web Interface 4.5.1 厂商补丁:

Citrix

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.citrix.com