发布日期：2001-04-17
更新日期：2001-04-17

受影响系统：

IBM Net.Commerce 3.1.2
   - Sun Solaris 7.0
   - Sun Solaris 2.6
   - Microsoft Windows NT 4.0
   - IBM AIX 4.3.2
   - IBM AIX 4.3.1
   - IBM AIX 4.2.1

描述：

---

BUGTRAQ  ID: 2587
CVE(CAN) ID: CAN-2001-0389

Net.Commerce是IBM发行的产品的Websphere平台的一部分。它提供了一些通用的特性使电子
商务变得更加容易，其性能和可靠性也有独到之处。

Net.Commerce包中存在的一个问题使得远程攻击者可以发现Websphere的安装路径。通过直接
引用文件macro.d2w并跟以NOEXISTINGHTMLBLOCK的后缀，可使Webshpere返回Net.Commerce
软件的安装路径。

这使得远程用户可以搜集Web框架的布局，有助于入侵系统。

<* 来源：ET LoWNOISE (et@cyberspace.org)  *>




测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://host/cgi-bin/ncommerce3/ExecMacro/macro.d2w/NOEXISTINGHTMLBLOCK


建议：

---

厂商补丁：

暂无



浏览次数：5168
严重程度：0（网友投票）