Thinking Arts的ES.One是一个电子商务软件包,此软件可以使得人们可以借助站点上 SQL数据库订购物品。 ES.One软件包中的CGI脚本store.cgi存在一个输入验证漏洞,远程攻击者可以利用此漏洞遍历服务器目录访问任意系统文件。 发送一个含有 '/../'序列并以%00.html结尾的请求给服务器,会导致目录遍历访问任意系统文件。
Thinking Arts的ES.One是一个电子商务软件包,此软件可以使得人们可以借助站点上 SQL数据库订购物品。 ES.One软件包中的CGI脚本store.cgi存在一个输入验证漏洞,远程攻击者可以利用此漏洞遍历服务器目录访问任意系统文件。 发送一个含有 '/../'序列并以%00.html结尾的请求给服务器,会导致目录遍历访问任意系统文件。