发布日期：2002-12-06
更新日期：2002-12-13

受影响系统：

Sapio Design Ltd. WebReflex 1.53

描述：

---

BUGTRAQ  ID: 6327

WebReflex是一款WEB服务程序，尤其多应用于CD-ROM浏览。

WebReflex不正确检查用户提交的URL请求，远程攻击者可以利用这个漏洞进行目录遍历漏洞，以进程权限在系统上查看任意文件内容。

攻击者可以提交包含多个'../'字符的URI请求给WebReflex Web服务程序，可导致绕过WEB ROOT限制，以进程权限在系统上查看任意文件内容。

<*来源：luca.ercoli （luca.ercoli@inwind.it）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=103918703611515&w=2
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

luca.ercoli （luca.ercoli@inwind.it）提供了如下测试方法：

http://target/../

建议：

---

厂商补丁：

Sapio Design Ltd.
-----------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.sapio.com/reflex/

浏览次数：2734
严重程度：0（网友投票）