Mollensoft Software Enceladus Server Suite目录遍历漏洞发布时间:2002-12-09 更新时间:2002-12-19 严重程度:中 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6338 受影响系统 Mollensoft Software Enceladus Server Suite 2.6.1详细描述 Enceladus没有很好过滤用户输入的请求。远程攻击者可以发送恶意的WEB请求,对服务器进行目录遍历,访问WEB根目录以外的敏感文件。 远程攻击者只需通过'../'技术即可进行目录遍历,访问WEB用户可读的所有文件。 测试代码 securma massine <securma@caramail.com>提供如下测试方法: ftp>cd cd @/....\ ftp> cd @@@@@@@@@@@/..c:\ 解决方案 Enceladus Server Suite 3.9.11不受影响,请到厂商主页下载: http://www.mollensoft.com/ 相关信息 发现者:luca.ercoli@inwind.it <luca.ercoli@inwind.it> 相关资料:http://online.securityfocus.com/archive/1/303017 http://online.securityfocus.com/archive/1/303990 |
