|
受影响版本:AfterLogic MailBee WebMail Pro
描述:
MailBee WebMail Pro是一款基于ASPX的WEB应用程序。
MailBee WebMail Pro不正确过滤用户提交的URI数据,远程攻击者可以利用漏洞以WEB权限查看系统文件内容。
问题是由于'download_view_attachment.aspx'脚本对用户提交的'temp_filename'参数处理缺少充分过滤,提交多个"../"字符作为参数数据,可绕过WEB ROOT限制,以WEB权限查看系统文件内容.
测试方法:
http://www.example.com/webmail-pro-net/download_view_attachment.aspx?temp_filename=../../../../../../../../../../../../../../../../../../boot.ini
上一篇:最近流行的14种第三方0day挂马防御措施!
下一篇:微软2008年二月安全公告摘要(含补丁下载)(1)
| 
网站地图
收藏本站
高级搜索
相关文章: