发布日期：2010-07-05
更新日期：2010-07-07

受影响系统：

XLight FTP Server XLight FTP Server 3.5.5

不受影响系统：

XLight FTP Server XLight FTP Server 3.6

描述：

---

BUGTRAQ  ID: 41399
CVE ID: CVE-2010-2695

Xlight FTP Server是Windows平台下的一款高性能FTP服务器软件。

远程攻击者可以通过向Xlight FTP Server提交包含有目录遍历序列的get、ls、rm、rename等命令读写访问根目录以外的文件。

<*来源：Accensus Security Group （www.accensussecurity.com）
  
  链接：http://marc.info/?l=bugtraq&m=127843192320406&w=2
        http://secunia.com/advisories/40473/
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

get ../../../../boot.ini

建议：

---

厂商补丁：

XLight FTP Server
-----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.xftpserver.com/download/setup.exe

浏览次数：3793
严重程度：0（网友投票）