受影响系统:
Techphoebe Techphoebe QuickShare File Server 1.2
描述:
Techphoebe QuickShare File Server是共享文件的文件服务器。
QuickShare File Server 1.2在实现上存在目录遍历漏洞,远程攻击者可利用此漏洞读写Web/FTP根目录之外的文件。具有上传权限的攻击者可控制受影响的服务器以覆盖系统文件。
此漏洞源于HTTP服务器未正确过滤目录遍历序列,通过向服务器发送特制的请求,攻击者可读写服务器根目录之外的任意文件。
<*来源:John Leitch
链接:http://www.johnleitch.net/Vulnerabilities/QuickShare.File.Server.1.2.Directory.Traversal
.Arbitrary.Upload/75
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
HTTP: ..%2F ..%5C FTP: ../
建议:
厂商补丁:
Techphoebe
———-
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.quicksharehq.com/
0 条评论。