发布日期：2004-04-12
更新日期：2004-04-20

受影响系统：

NetWin SurgeLDAP 1.0 g
NetWin SurgeLDAP 1.0 e
NetWin SurgeLDAP 1.0 d

描述：

---

BUGTRAQ  ID: 10103
CVE(CAN) ID: CVE-2004-2253

SurgeLDAP是一款高级易管理的高性能的LDAP v3服务器。

SurgeLDAP包含的管理服务器脚本对用户提交的请求缺少充分过滤，远程攻击者可以利用这个漏洞以WEB权限查看系统任意文件内容。

漏洞存在于user.cgi脚本中，由于对'page'参数缺少充分过滤，提交包含多个"../"字符作为参数数据，可绕过WEB ROOT限制，以WEB权限查看系统任意文件内容。

<*来源：dr_insane （dr_insane@pathfinder.gr）
  *>

建议：

---

厂商补丁：

NetWin
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://netwinsite.com/surgeldap/

浏览次数：3462
严重程度：0（网友投票）