CVE-2000-0302 (CNNVD-200003-056)
中文标题:
Microsoft Windows Index Server '%20'远程ASP源码泄露漏洞(MS00-006)
英文标题:
Microsoft Index Server allows remote attackers to view the source code of ASP files by appending a %...
漏洞描述
中文描述:
Microsoft Index Server是Windows NT 4.0可选安装包中包括的一个基于Web的搜索引擎,在Windows 2000系统中作为一个服务安装。 Index Server的Webhits.dll实现上存在漏洞,远程攻击可能利用此漏洞读取系统上ASP脚本的源码或其它系统文件的内容。Cerberus安全小组现在微软的Index Server服务上发现了第三个漏洞。对于运行在IIS4或IIS5上的Index Server,即使您把最近的补丁给打上了或者没有.htw文件,都同样受到此漏洞的影响。其中的风险包括系统中的很多ASP页面的源代码或者是象global.asa的文件会被攻击者查看。这些文件包含了很多敏感信息,象用户的ID和密码、还有数据源、数据库用户名及密码。这些都会给攻击者攻击站点/网络提供便利。 存在该问题的其中一个原因是因为'null.htw'没有一个映射到系统中任意文件的真实文件。另外,它是一个在内存中的'虚拟文件',因此,即使没有一个真实的.htw文件在系统中也同样存在风险。任何对null.htw的请求都由webhits.dll来处理。
英文描述:
Microsoft Index Server allows remote attackers to view the source code of ASP files by appending a %20 to the filename in the CiWebHitsFile argument to the null.htw URL.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| microsoft | index_server | 2.0 | - | - |
cpe:2.3:a:microsoft:index_server:2.0:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
CVSS评分详情
AV:N/AC:L/Au:N/C:P/I:N/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2000-0302 |
2025-11-11 15:17:19 | 2025-11-11 07:28:52 |
| NVD | nvd_CVE-2000-0302 |
2025-11-11 14:50:25 | 2025-11-11 07:40:57 |
| CNNVD | cnnvd_CNNVD-200003-056 |
2025-11-11 15:08:38 | 2025-11-11 07:48:43 |
| EXPLOITDB | exploitdb_EDB-19830 |
2025-11-11 15:05:56 | 2025-11-11 08:15:13 |
版本与语言
安全公告
变更历史
查看详细变更
- references_count: 4 -> 7
- tags_count: 0 -> 4
- data_sources: ['cnnvd', 'cve', 'nvd'] -> ['cnnvd', 'cve', 'exploitdb', 'nvd']
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200003-056
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- cvss_score: 未提取 -> 5.0
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:N/A:N
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']