ArsDigita Community System目录遍历漏洞

2007-01-22T00:00:00
ID SSV:1259
Type seebug
Reporter Root
Modified 2007-01-22T00:00:00

Description

ArsDigita Community System是一款基于WEB的应用程序。

ArsDigita Community System不正确过滤用户提交的输入,远程攻击者可以利用漏洞以WEB权限查看系统文件内容。

问题是程序对用户提交URL参数缺少过滤,提交包含多个".%252e/"字符作为参数数据,可绕过WEB ROOT限制,以WEB权限查看系统文件内容。

Ars Digita Community System (ACS) 3.4.10 Ars Digita Community System (ACS) 3.4.9 Ars Digita Community Education Solution (ACES) 1.1 升级到最新的程序版本:

<a href="http://openacs.org/" target="_blank">http://openacs.org/</a>

                                        
                                            
                                                http://www.example.com/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/.%252e/etc/passwd