发布日期：2004-03-17
更新日期：2004-03-22

受影响系统：

Lotus Domino 6.5.1

描述：

---

BUGTRAQ  ID: 9900
CVE(CAN) ID: CVE-2004-2311

Lotus Domino服务器是一款基于WEB合作的应用程序架构，运行在Linux/Unix和Microsoft Windows操作系统平台下。

Lotus Domino服务器的webadmin.nsf对用户提交请求缺少充分过滤，远程攻击者可以利用这个漏洞以服务程序权限查看系统上任意文件。

服务程序可通过'webadmin.nsf'进行管理接口访问，不过由于对新文件名建立请求缺少充分过滤，攻击者可以利用目录遍历，使用多个'../'以WEB进程权限访问系统上的任意文件。

<*来源：dr_insane （dr_insane@pathfinder.gr）
  
  链接：http://members.lycos.co.uk/r34ct/main/ibm_lotus_domino/lotus.txt
*>

建议：

---

厂商补丁：

Lotus
-----
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.lotus.com/home.nsf/welcome/domino

浏览次数：3298
严重程度：0（网友投票）