VULHUB ™

PeopleSoft企业软件集成多个商务功能，包括人事、客户关系、供求关系、财务等管理。PeopleSoft应用程序架构包括一个基于WEB服务器的报告库，\"SchedulerTransfer\" Java Servlet用于使用HTTP或者HTTPS传输协议把报告移到报告库中。 \"SchedulerTransfer\" Java Servlet没有充分检查外部提供的数据，远程攻击者利用这个漏洞以WEB服务进程权限在系统上写恶意文件或覆盖已知文件并执行。 \"SchedulerTransfer\" Servlet在PeopleSoft web服务器上默认配置运行，其中包含文件上传代码可处理通过HTTP POST请求提交的文件，默认没有任何验证措施来限制用户对Servlet的访问或限制用这个方法来上传文件。虽然程序对路径分隔字符有一定的安全检查，但是由于检查不完整，攻击者可以利用这个目录遍历检查不完整漏洞，来在指定上传目录之外建立或覆盖任意文件，覆盖知名Java程序就可以通过直接访问来执行。

PeopleSoft企业软件集成多个商务功能，包括人事、客户关系、供求关系、财务等管理。PeopleSoft应用程序架构包括一个基于WEB服务器的报告库，\"SchedulerTransfer\" Java Servlet用于使用HTTP或者HTTPS传输协议把报告移到报告库中。 \"SchedulerTransfer\" Java Servlet没有充分检查外部提供的数据，远程攻击者利用这个漏洞以WEB服务进程权限在系统上写恶意文件或覆盖已知文件并执行。 \"SchedulerTransfer\" Servlet在PeopleSoft web服务器上默认配置运行，其中包含文件上传代码可处理通过HTTP POST请求提交的文件，默认没有任何验证措施来限制用户对Servlet的访问或限制用这个方法来上传文件。虽然程序对路径分隔字符有一定的安全检查，但是由于检查不完整，攻击者可以利用这个目录遍历检查不完整漏洞，来在指定上传目录之外建立或覆盖任意文件，覆盖知名Java程序就可以通过直接访问来执行。