发信人: netcc()
整理人: (2000-03-22 19:22:27), 站内信件
|
vqserver web服务跟随请求/........../ 可以得到任何物理路径中存在可读的文
件。
例如输入:http://host/........../autoexec.bat
能够得到autoexec.bat文件(如果该文件存在)。
更严重的是,如果输入:
http://host/........../some/path/vq/server/cfg/server.cfg
在此/some/path/只是替代而以,一般为/program/vqserver/,将得到所有的服务
配置文件和没有加密的密码。
该服务默认启动的管理端口为9090, 通过从文件server.cfg得到的用户和密码,
可以远程管理和配置
该服务。
建议解决方法:
下载1.9.31版本不存在该漏洞。
http://www.vqsoft.com/
--
我思念的城市已是黄昏
为何我总是对你一网情深!
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 210.75.33.213]
|
|