TalnetSoft Web+存在目录限制可以被绕过漏洞发布时间:2000-04-13 更新时间:2000-04-13 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Misc详细描述 Web+是一个运行在网站服务器下的提供网络商店功能的服务软件,其中的webplusCGI需要传递一'script'变量来进行系统查询,但这个CGI确可以穿透过目录来访问任意文件,其结果将显示在浏览器上。当然能阅读何种文件取决于WEB 服务器以何种身份运行 此软件的URL为:http://www.talentsoft.com 测试代码 http ://target/cgi-bin/webplus?script=/../../../../etc/passwd 解决方案 暂无 相关信息 |
