发布日期：2001-02-12
更新日期：2001-02-12

受影响系统：

   Informs PicServer 1.0
    - Microsoft Windows 95

描述：

---

BUGTRAQ  ID: 2339
CVE(CAN) ID: CAN-2001-0202

Picserver是一个 web 服务器，可以从http://www.informs.com
和 http://www.zdnet.com这两个站点获得。远程用户可以读取Picserver服务器
根目录之外的文件。提交一个特殊构造的精巧的 URL，其中包含 '../' 或 '.../' 序列，
就可以暴露要读取的文件。

<* 来源：Joe Testa (joetesta@hushmail.com) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

   例如，输入如下形式的 URL：

     http://target/../[file outside web root]
     http://target/.../[file outside web root]


建议：

---

临时解决办法：

   NSFOCUS建议您在这个问题没有得到解决前换用别的替代产品。

厂商补丁：

   暂无

浏览次数：3804
严重程度：0（网友投票）