Raiden HTTPD ulang参数 跨站脚本和目录遍历漏洞

来源:岁月联盟 编辑:zhuzhu 时间:2009-07-30
Raiden HTTPD ulang参数 跨站脚本和目录遍历漏洞 受影响系统:
RaidenHTTPD Server 2.0.25

不受影响系统:
RaidenHTTPD Server 2.0.27

描述:
RaidenHTTPD Server是Windows 98/Me/2000/XP/2003平台上具有完全特性的Web server软件,用户可以方便的使用和安装。

RaidenHTTPD Server的raidenhttpd-admin/menu.php组件没有正确地验证ulang参数输入便用于读取文件,远程安全者可以通过URL编码的空字节执行目录遍历安全,读取任意文件的内容;此外raidenhttpd-admin/workspace.php组件也没有正确地验证ulang参数便返回给了用户,这可能在用户浏览器中导致跨站脚本安全。

厂商补丁:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://raidenhttpd.com/changelog.txt