发布日期：2001-12-19
更新日期：2001-12-24

受影响系统：

Nombas ScriptEase Webserver Edition 4.30d Netware 5
    - Novell NetWare 5.1
Nombas ScriptEase Webserver Edition 4.30d OS/2
    - Novell NetWare 5.1
Nombas ScriptEase Webserver Edition 4.30d win3.x
    - Novell NetWare 5.1

描述：

---

BUGTRAQ  ID: 3715
CVE(CAN) ID: CVE-2002-0323

Nombas ScriptEase:Webserver Edition 提供了基于Web的JavaScript开发环境，可以执行JavaScript来响应CGI请求，还提供了远程调试功能。

该程序存在一个安全问题，可能导致任意文件泄露。

其中的示例脚本“viewcode.jse”用来浏览脚本源代码，但是由于没有过滤“../”，导致恶意攻击者可以利用该漏洞查看任意文件内容。

<*来源：Martyn Ruks （martyn.ruks@irmplc.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2001-12/0200.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 删除所有示例脚本

厂商补丁：

Nombas ScriptEase
-----------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.nombas.com/us/sewse/index.htm

浏览次数：3143
严重程度：0（网友投票）