发布日期：2001-02-14
更新日期：2001-02-14

受影响系统：

SilverPlatter WebSpirs 3.1

不受影响系统：

SilverPlatter WebSpirs 4.2
SilverPlatter WebSpirs 4.3

描述：

---

WebSPIRS是SilverPlatter（http://www.silverplatter.com）出的一个WWW方式的
信息检索系统。它是一个CGI程序，任何支持表单的浏览器如Netscape等都可以通过
Internet来搜索SilverPlatter的电子参考数据库。

它未能正确检查用户通过浏览器提交的信息的合法性，结果可以通过它来察看系统中的
任意文件。

<* 来源：UkR-XblP (cuctema@ok.ru) *>





测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.target.com/cgi-bin/webspirs.cgi?sp.nextform=../../../../../../path/to/file

建议：

---

厂商补丁：

升级到webspirs 4.2以上版本:
http://www.silverplatter.com



浏览次数：3870
严重程度：0（网友投票）