ACD CwpAPI 相关路径验证检查存在漏洞发布时间:2002-01-29 更新时间:2002-01-29 严重程度:中 威胁程度:服务器信息泄露 错误类型:设计错误 利用方式:物理接触 BUGTRAQ ID:3924 受影响系统 ACD Incorporated CwpAPI 1.1详细描述 CwpAPI 是一款PHP库设计用来允许方便的建立安全的WEB程序。 其中GetRelativePath函数设计用来保证返回的值在WEB ROOT目录之内,但没有 进行完整安全的检查所有路径。 如果程序依靠这个安全功能构建而没有其他额外的权限检查和验证,就可能造成 读取WEB ROOT以外的文件。 测试代码 尚无 解决方案 下载更新版本: ACD Incorporated CwpAPI 1.1: ACD Incorporated Upgrade CwpAPI 1.1.1 http://sourceforge.net/project/showfiles.php?group_id=39378&release_id=69915 相关信息 参考:http://www.securityfocus.com/archive/1/251699 相关主页:http://sourceforge.net/projects/cwpapi/ |
