Acem thttpd中的文件可被查看发布时间:2000-10-01 更新时间:2000-10-01 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Acme thttpd 2.19详细描述 Acme thttpd HTTP服务程序包含一个CGI程序,在thttpd中叫所"ssi",其提供类似于一些server-side-include的一些特性。文件名字的过滤通过ssi脚本传递给ssi中的PATH_TRANSLATED环境变量来限制,但对于部分字符没有进行很好的限制,通过发送一些特殊格式的URL可以导致任意文件的查看。使用16进制的..来逃避检查。 测试代码 尚无 解决方案 升级到http://www.acme.com/software/thttpd/thttpd-2.20.tar.gz 相关信息 |
