Microsoft IIS 3.0/4.0"%81"ASP源码泄露漏洞(MS99-022) CVE-1999-0725 CNNVD-199908-032

7.1 AV AC AU C I A
发布: 1999-08-19
修订: 2023-11-07

IIS 是一个非常流行的Internet Web服务器产品,随Windows NT捆绑销售。 中文版、日文版、韩文版等双字节语言版本的IIS 3.0和4.0存在一个问题,在HTTP请求中CGI文件名后面加上\"\\%81\"就可以显示出文件的源代码,而不是执行。 该问题是一个输入验证错误。IIS是通过文件扩展名来决定将一个文件内容直接显示出来还是作为脚本执行的。对于asp文件,如果请求中的扩展名是\".asp\"那么IIS可以正确处理。如果将扩展名后面加一个\"\\%81\",IIS将不认为这是一个ASP文件,也就不会执行。但是文件系统会忽略文件名后的\"\\%81\",可以正确找到文件。

0%
当前有1条漏洞利用/PoC
当前有6条受影响产品信息