CVE-2002-1180 (CNNVD-200211-023)
中文标题:
Microsoft IIS脚本资源访问文件上载漏洞(MS02-062)
英文标题:
A typographical error in the script source access permissions for Internet Information Server (IIS) ...
漏洞描述
中文描述:
Microsoft IIS是一款由微软公司开发的HTTP服务程序。 Microsoft IIS 5.0在处理脚本资源访问权限操作上存在问题,远程攻击者可以利用这个漏洞上传任意文件到受此漏洞影响的WEB服务器上并以高权限执行。 Microsoft IIS 5.0服务程序在脚本资源访问权限文件类型列表中存在一个排版错误,可导致远程攻击者装载任意恶意文件到服务器中。脚本资源访问存在一个访问控制机制可防止用户上载任意执行文件或者脚本到服务器上,但是,这个机制没有防止用户上传.COM文件类型。远程攻击者如果在IIS服务器上有对虚拟目录写和执行权限,就可以上传.COM文件到服务器并以高权限执行这个文件。 只有在管理员对所有用户授予一个或多个服务器虚拟目录的写权限和执行权限时,本漏洞才能被利用。默认配置的IIS不受本漏洞影响。并且只有在服务器允许提交WebDAV请求时,本漏洞才可能被利用。如果采用了缺省配置的IIS Lockdown Tool就会拒绝这种请求。 <*链接:http://www.microsoft.com/technet/security/bulletin/MS02-062.asp *>
英文描述:
A typographical error in the script source access permissions for Internet Information Server (IIS) 5.0 does not properly exclude .COM files, which allows attackers with only write permissions to upload malicious .COM files, aka "Script Source Access Vulnerability."
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| microsoft | internet_information_services | 5.0 | - | - |
cpe:2.3:a:microsoft:internet_information_services:5.0:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
CVSS评分详情
AV:N/AC:L/Au:N/C:P/I:P/A:P
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2002-1180 |
2025-11-11 15:17:24 | 2025-11-11 07:32:16 |
| NVD | nvd_CVE-2002-1180 |
2025-11-11 14:50:28 | 2025-11-11 07:41:03 |
| CNNVD | cnnvd_CNNVD-200211-023 |
2025-11-11 15:08:41 | 2025-11-11 07:48:49 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200211-023
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
- cvss_score: 未提取 -> 7.5
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']