安全研究
安全漏洞
Auction Weaver 目录遍历漏洞
发布日期:2000-10-19
更新日期:2000-10-19
受影响系统:
CGI Script Center Auction Weaver 1.0
CGI Script Center Auction Weaver 1.0.1
CGI Script Center Auction Weaver 1.0.2
CGI Script Center Auction Weaver 1.0.3
CGI Script Center Auction Weaver 1.0.4
- Sun Solaris 2.x/7/8
- RedHat Linux 6.x
- Microsoft Windows 9x
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
不受影响系统:
CGI Script Center Auction Weaver 1.0.5
- Sun Solaris 2.x/7/8
- RedHat Linux 6.x
- Microsoft Windows 9x
- Microsoft Windows NT 4.0
- Microsoft Windows NT 2000
描述:
远程用户用NULL字符将username域和bidfile域的内容拼接起来,再利用"../"技术,
就可能获取任意已知名字的文件内容,而无需任何权限验证。
<* 来源:Steve Christey (
coley@mitre.org) *>
建议:
临时解决办法:
NSFOCUS建议您暂时禁止Auction Weaver程序,直到获得修正后的新版本。
厂商补丁:
CGI Script Center 注意到该漏洞并提供了升级版本 Auction Weaver 1.05
http://www.cgiscriptcenter.com/awl/
浏览次数:7118
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障 |
