发布日期：2004-03-08
更新日期：2004-03-12

受影响系统：

PWebServer Web Server 0.3.3
PWebServer Web Server 0.3.2
PWebServer Web Server 0.3.0

不受影响系统：

PWebServer Web Server 0.3.4

描述：

---

BUGTRAQ  ID: 9817
CVE(CAN) ID: CVE-2004-1801

PWebServer是一款简单的Java多线程支持HTTP/1.0协议的WEB服务器。

PWebServer没有充分过滤用户提交的请求，远程攻击者可以利用这个漏洞以WEB进程权限查看系统上任意文件。

问题是对类似"../"的数据缺少过滤，提交包含多个"../"的URI请求可绕过WEB ROOT限制，以WEB进程权限查看系统上任意文件。

<*来源：Donato Ferrante （fdonato@autistici.org）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107876388211413&w=2
*>

建议：

---

厂商补丁：

PWebServer
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

PWebServer Upgrade pwebserver-0.3.4.tgz
http://prdownloads.sourceforge.net/pwebserver/pwebserver-0.3.4.tgz

浏览次数：2865
严重程度：0（网友投票）