发布日期：2003-12-19
更新日期：2003-12-29

受影响系统：

PY Software Active WebCam 4.3

描述：

---

BUGTRAQ  ID: 9260

PY Software Active Webcam Webserver是一款可基于视频聊天的WEB服务程序。

PY Software Active Webcam Webserver没有充分过滤用户提交的URL请求，远程攻击者可以利用这个漏洞绕过WEB ROOT限制，以WEB进程权限在系统上查看任意文件内容。

攻击者可以提交包含多个"../"或"..\"字符的URL请求，可允许查看和下载系统上的任意文件内容，造成敏感信息泄露。

<*来源：Luigi Auriemma （aluigi@pivx.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107187212318398&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Luigi Auriemma （aluigi@pivx.com）提供了如下测试方法：

http://server:8080/../../../windows/system.ini
http://server:8080/..\..\..\windows/system.ini

建议：

---

厂商补丁：

PY Software
-----------
2003-12-17之后的4.3版本不存在此漏洞，请到厂商的主页下载：

http://www.pysoft.com/ActiveWebCamMainpage.htm

浏览次数：3029
严重程度：0（网友投票）