Oracle JSP/SQLJSP存在Servlet可执行漏洞发布时间:2001-01-31 更新时间:2001-01-31 严重程度:中 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Oracle Oracle8 8.1.7详细描述 oracle8数据库存在一个问题可以导致远程用户执行任意文件,由于对ORACEL JSP代理端的输入没有很好的处理,就出现执行程序的问题。连接WEB服务程序使用ORACLE数据库的2000系统上,可能让一用户在WEB服务程序的分区中执行 JAVA SERVLET PAGE,通过请求http://webhost/servlet//..//..//o.jsp就可能执行c:\o.jsp,上面的操作必须假定文件存在,和WEB服务程序安装在c:\分区,在建立了目录 C:\servlet\_pages\_servlet,并拷贝o.jsp源程序和.class。 测试代码 http://webhost/servlet//..//..//o.jsp 解决方案 尚无 相关信息 |
