发布日期：2002-11-01
更新日期：2002-11-07

受影响系统：

ION ION Script 1.4

描述：

---

BUGTRAQ  ID: 6091
CVE(CAN) ID: CVE-2002-1559

ION（IDL on the Net）网络数据管理工具，在Internet 上共享IDL的可视化和分析功能，使不同层次的使用者将数据和可视化表示程序结合到网络－－客户应用中。

ION包含的ION Script系统对用户提交的HTTP请求检查不正确，远程攻击者可以利用这个漏洞以ION Script进程权限查看系统上任意文件内容。

ION Script系统的ion-p.exe脚本对'page'参数的数据缺少正确处理，攻击者可以提交任意已知文件名作为'page'参数值，可导致ion-p.exe脚本返回文件内容。

UNIX和Windows操作系统下的ION Script都存在此漏洞。

<*来源：Zero-X （zero-x@linuxmail.org）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103617461516386&w=2
*>

建议：

---

厂商补丁：

ION
---
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.rsinc.com/ion/whatsnew.cfm

浏览次数：2808
严重程度：0（网友投票）