CVE-2007-2448 (CNNVD-200706-238)
中文标题:
Subversion修改属性远程信息泄露漏洞
英文标题:
Subversion 1.4.3 and earlier does not properly implement the "partial access" privilege for users wh...
漏洞描述
中文描述:
Apache Subversion是美国阿帕奇(Apache)软件基金会的一套开源的版本控制系统。该系统可兼容并发版本系统(CVS)。 Subversion在处理日志访问时存在漏洞,远程攻击者可能利用此漏洞获取敏感信息。 由于日志消息中可能会包含有关更改的详细信息,因此Subversion为用户访问指定的修改元数据设置了三级权限,分别为"完全访问"、"不可访问"和"部分访问",其中设置为"部分访问"权限的用户仅可以看到svn:date和svn:author修改属性,以及changed-paths信息的路径(但不是信息)。 如果读者可以访问修改中所变更的所有路径,但不可以访问修改中所拷贝的所有路径,且使用svn propget、svn proplist、svn propedit子命令(或其API),则设置了"部分访问"权限的用户可以获得对某些修改属性相关查询操作的"完全访问"。例如,假设创建了/public/document.txt修改路径做为/private/document.txt的拷贝,读者被授权读取/public/document.txt但不可读取/private/document.txt,也就是读者仅应被授予对修复的"部分访问"权限。但svn prop*命令在确定修改访问级别时没有考虑拷贝源路径,仅检查了读者对拷贝目的地的访问,这允许读者获得"完全访问",看到所有的修改属性,包括日志消息。
英文描述:
Subversion 1.4.3 and earlier does not properly implement the "partial access" privilege for users who have access to changed paths but not copied paths, which allows remote authenticated users to obtain sensitive information (revision properties) via svn (1) propget, (2) proplist, or (3) propedit.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| subversion | subversion | * | - | - |
cpe:2.3:a:subversion:subversion:*:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
CVSS评分详情
AV:N/AC:H/Au:S/C:P/I:N/A:N
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2007-2448 |
2025-11-11 15:17:52 | 2025-11-11 07:32:43 |
| NVD | nvd_CVE-2007-2448 |
2025-11-11 14:52:11 | 2025-11-11 07:41:29 |
| CNNVD | cnnvd_CNNVD-200706-238 |
2025-11-11 15:08:57 | 2025-11-11 07:49:18 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 授权问题
- cnnvd_id: 未提取 -> CNNVD-200706-238
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- severity: SeverityLevel.MEDIUM -> SeverityLevel.LOW
- cvss_score: 未提取 -> 2.1
- cvss_vector: NOT_EXTRACTED -> AV:N/AC:H/Au:S/C:P/I:N/A:N
- cvss_version: NOT_EXTRACTED -> 2.0
- affected_products_count: 0 -> 1
- data_sources: ['cve'] -> ['cve', 'nvd']