发布日期：2002-04-16
更新日期：2002-04-19

受影响系统：

描述：

---

WebTrends Reporting Center可通过浏览器提供快速复杂的WEB站点活动信息分析。

WebTrends Reporting Center在处理用户提交给get_od_toc.pl参数上存在问题，可导致程序安装路径泄露。

攻击者可以简单提交随机数据给get_od_toc.pl脚本中的Profile参数，可导致服务器返回包含程序安装路径的错误信息。

攻击者可以通过获得这些信息进一步对系统进行攻击。

<**>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

NGSSoftware Insight Security Research （nisr@nextgenss.com）提供了如下测试方法：

http://targetmachine/get_od_toc.pl?Profile= (no authentication required)

可导致返回如下错误信息：

- Unable to open content file
path=C:/PROGRA~1/WEBTRE~1/wtm_wtx/

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用访问控制限制匿名用户访问。

浏览次数：3548
严重程度：0（网友投票）