发布日期：2004-02-02
更新日期：2004-02-11

受影响系统：

Niti Telecom Caravan Business Server 2.00

描述：

---

BUGTRAQ  ID: 9555
CVE(CAN) ID: CVE-2004-2170

Niti Telecom Caravan Business Server是一款基于WEB的服务程序。

Niti Telecom Caravan Business Server包含的showcode.asp脚本对用户提交的请求缺少充分过滤，远程攻击者可以利用这个漏洞以WEB权限查看系统文件。

使用包含多个'../'的转义字符作为参数提交给showcode.asp脚本，可绕过WEB ROOT目录限制，以WEB进程权限查看系统文件。

<*来源：dr_insane （dr_insane@pathfinder.gr）
  
  链接：http://members.lycos.co.uk/r34ct/main/Caravan/Caravan.txt
*>

建议：

---

厂商补丁：

Niti Telecom
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.nititelecom.com/caravan/start.asp

浏览次数：2709
严重程度：0（网友投票）