NSCA httpd 1.5及以前版本和Apache Web Server 1.0以前的版本的ScriptAlias功能存在漏洞。如果ScriptAlias目录定义在DocumentRoot下,远程攻击者可以浏览Web服务器上CGI程序的源码。 如果索引功能打开的话,在URL里使用多个斜杠还可以列出CGI-BIN目录的列表。 远程攻击者可以利用这个漏洞查看脚本的代码,进一步审计这些脚本可能获得更多漏洞。 <**>
NSCA httpd 1.5及以前版本和Apache Web Server 1.0以前的版本的ScriptAlias功能存在漏洞。如果ScriptAlias目录定义在DocumentRoot下,远程攻击者可以浏览Web服务器上CGI程序的源码。 如果索引功能打开的话,在URL里使用多个斜杠还可以列出CGI-BIN目录的列表。 远程攻击者可以利用这个漏洞查看脚本的代码,进一步审计这些脚本可能获得更多漏洞。 <**>