发布日期：2001-12-28
更新日期：2002-02-04

受影响系统：

Agora.cgi Agora.cgi 4.0e
Agora.cgi Agora.cgi 4.0d
Agora.cgi Agora.cgi 4.0c
Agora.cgi Agora.cgi 4.0b
Agora.cgi Agora.cgi 4.0a
Agora.cgi Agora.cgi 4.0
Agora.cgi Agora.cgi 3.3j
Agora.cgi Agora.cgi 3.3i
Agora.cgi Agora.cgi 3.3f
Agora.cgi Agora.cgi 3.3e
Agora.cgi Agora.cgi 3.3d
Agora.cgi Agora.cgi 3.3c
Agora.cgi Agora.cgi 3.3b
Agora.cgi Agora.cgi 3.3a
Agora.cgi Agora.cgi 3.2r
Agora.cgi Agora.cgi 3.2q
Agora.cgi Agora.cgi 3.2p
Agora.cgi Agora.cgi 3.2n
Agora.cgi Agora.cgi 3.2m
Agora.cgi Agora.cgi 3.2l
Agora.cgi Agora.cgi 3.2k
Agora.cgi Agora.cgi 3.2ja
Agora.cgi Agora.cgi 3.2j
Agora.cgi Agora.cgi 3.2i
Agora.cgi Agora.cgi 3.2h
Agora.cgi Agora.cgi 3.2g
Agora.cgi Agora.cgi 3.2f
Agora.cgi Agora.cgi 3.2e
Agora.cgi Agora.cgi 3.2d
Agora.cgi Agora.cgi 3.2c
Agora.cgi Agora.cgi 3.2b
Agora.cgi Agora.cgi 3.2a
Agora.cgi Agora.cgi 3.2

描述：

---

BUGTRAQ  ID: 3976
CVE(CAN) ID: CVE-2002-0215

Agora.cgi是种免费使用、开放源码的电子购物系统。

Agora.cgi实现上存在漏洞，远程攻击者可以利用这个漏洞收集远程主机敏感信息，为以后的其它攻击做准备。

当其调试模式打开时，远程攻击者针对一个不存在的.html文件提交URL请求，导致agora.cgi脚本所在目录的绝对路径被显示出来。

<*来源：superpetz （superpetz@hushmail.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0345.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 禁止调试模式。

厂商补丁：

Agora.cgi
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.agoracgi.com/

浏览次数：3064
严重程度：0（网友投票）