Directory Pro可查看任意文件发布时间:2001-05-31 更新时间:2001-05-31 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Cosmicperl Directory Pro 2.0详细描述 Webdirectory Pro是WEB应用程序,用来建立可索引的目录。其中对用户输入的合法性没有很好的过滤,就可能造成敏感信息的泄露,因为'show'变量值没有正确过滤可以用来迫使'directorypro.cgi' 来输出系统上任意可读文件内容。 测试代码 http://target/cgi-bin/directorypro.cgi?want=showcat&show=../../../..//etc/motd%00 解决方案 尚无 相关信息 |
