发布日期：2000-12-29
更新日期：2000-12-30

受影响系统：

Technote Inc Technote Pro
Technote Inc Technote 2001
Technote Inc Technote 2000
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 2000

描述：

---

Technote是韩国的Technote公司（http://www.technote.co.kr）开发的公告牌系统。
其中一个脚本print.cgi接受一个名为“board”的参数。该变量的值由远程提供，并被
作为文件名传递给open( )函数，但它并未检查其中的“../”串。结果，恶意的远程用
户可以察看系统中Web服务器进程能够读取的任何文件。这可能泄漏敏感信息并有助于进
一步攻击受害主机。

<*来源：bt (bt@spitzner.org) *>




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://target/technote/technote/print.cgi?board=../../../../../../../../etc/passwd%00

建议：

---

厂商补丁：

    暂无。

浏览次数：4424
严重程度：0（网友投票）