发布日期：2001-05-05
更新日期：2001-05-05

受影响系统：

    BRS WebWeaver 0.62beta
    BRS WebWeaver 0.61beta
    BRS WebWeaver 0.60beta
    BRS WebWeaver 0.52beta
    BRS WebWeaver 0.51beta
    BRS WebWeaver 0.50beta
    BRS WebWeaver 0.49beta

不受影响系统：

BRS WebWeaver 0.63beta

描述：

---

BUGTRAQ  ID: 2675
CVE(CAN) ID: CAN-2001-0453

BRS WebWeaver 是 Blaine Southam 开发的WEB和FTP服务软件。远程用户通过提交包
含"../"的URL请求，可以访问WEB根目录之外的其他目录。

<* 来源：(joetesta@hushmail.com) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

参看漏洞描述

建议：

---

漏洞发现者提供了一个临时解决方案，删除所有用户自定义别名，比如"syshelp"、
"sysimages"。也可以升级到0.63beta版：

http://members.nbci.com/_XMCM/BSoutham/download/WebWeaver063.exe




浏览次数：3803
严重程度：0（网友投票）