Просмотр файлов в WebSPIRS CGI вне web директории

Свойства

Дата публикации:
25.02.2001
URL адреса:
/_Services/Bugtraq_ID.asp?ID=2362

Код

WebSPIRS - система информационного поиска для WWW. Уязвимость защиты в CGI позволяет отдаленному злоумышленнику просматривать любой файл, главным образом, читаемые файлы.
Уязвимость вызвана неадекватной проверкой правильности данных, введенных пользователем, что позволяет отдаленным злоумышленникам получить доступ к файлам, которые находятся вне корневого каталога.
Пример:
 www.example.com/cgi-bin/webspirs.cgi?sp.nextform=../../../../../../path/to/file 

или введите имя

CAPTCHA