CGIHTML表单文件上传破坏本地文件漏洞发布时间:2003-01-15 更新时间:2003-01-15 严重程度:高 威胁程度:远程非授权文件存取 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6550 受影响系统 Eekim cgihtml 1.69详细描述 cgihtml是一个基于Web的CGI程序,它在处理通过表单提交的上传数据时会暂时存放在/tmp或用户指定的目录中。漏洞在于程序在创建临时文件时直接使用客户端提供的文件名,如果客户端提供的文件名含有目录遍历的字串时则可能导致重写系统文件。 解决方案 厂商还未提供解决方案。 相关信息 Chris Leishman <chris@leishman.org> Multiple cgihtml vulnerabilities http://online.securityfocus.com/archive/1/305469 |
