VULHUB ™

PeopleSoft企业软件集成多个商务功能，包括人事、客户关系、供求关系、财务等管理。 PeopleSoft PeopleTools包含的搜索CGI脚本对用户提交参数缺少充分过滤，远程攻击者可以利用这个漏洞进行目录遍历攻击。 psdoccgi.exe搜索CGI应用程序用于搜索PeopleBooks在线文档，应用程序接收外部输入两个参数，headername和footername，允许用户选择页头和页脚本内容返回给请求者，由于对此参数数据缺少充分过滤，攻击者提交恶意参数可绕过WEB ROOT限制，以WEB权限在系统上查看任意文件内容。

PeopleSoft企业软件集成多个商务功能，包括人事、客户关系、供求关系、财务等管理。 PeopleSoft PeopleTools包含的搜索CGI脚本对用户提交参数缺少充分过滤，远程攻击者可以利用这个漏洞进行目录遍历攻击。 psdoccgi.exe搜索CGI应用程序用于搜索PeopleBooks在线文档，应用程序接收外部输入两个参数，headername和footername，允许用户选择页头和页脚本内容返回给请求者，由于对此参数数据缺少充分过滤，攻击者提交恶意参数可绕过WEB ROOT限制，以WEB权限在系统上查看任意文件内容。