发布日期：2002-03-28
更新日期：2002-04-02

受影响系统：

Citrix Nfuse 1.5

描述：

---

BUGTRAQ  ID: 4382
CVE(CAN) ID: CVE-2002-0503

Citrix NFuse是一款应用构建服务程序，通过WEB浏览器提供任意应用程序的功能，NFuse需要与WEB服务器结合工作，运行在多种操作系统下，包括Unix,Linux,windows.

Citrix NFuse对用户输入过滤上存在漏洞，可使远程攻击者获得Web ROOT在系统上的绝对路径信息。

Citrix NFuse中的lboilerplate.asp脚本代码没有过滤来自URL参数，攻击者可通过向lboilerplate.asp提供构建包含(../)特殊的请求，导致主机返回包含Web ROOT绝对路径的错误信息给攻击者。

<*来源：Eric Budke （budke@budke.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0334.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有好的临时解决方法。

厂商补丁：

Citrix
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.citrix.com/products/nfuse/default.asp

浏览次数：2989
严重程度：0（网友投票）