发布日期：2001-06-21
更新日期：2001-07-02

受影响系统：

Arcadia 1C: Arcadia Internet Store 1.0

描述：

---

BUGTRAQ  ID: 2904
CVE(CAN) ID: CAN-2001-0704

1C: Arcadia Internet Store是基于Windows NT/2000的在线购物软件，其中程序
“tradecli.dll”允许用户指定一个模板文件，然后输出该文件的内容，如果指定的摸
板文件不存在的话，就会泄露服务器的物理路径信息。

<*来源：ViperSV （vipersv@mail.ru) *>



测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

NERF Security gr0up提供了如下测试代码：

http://host/scripts/tradecli.dll?template=nonexistfile



建议：

---

临时解决办法：

把错误信息输出到事件日志中

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://arcadia.spb.ru/



浏览次数：3975
严重程度：0（网友投票）