热心网友2
发表于 2026-5-21 11:30:00
Re: 星外虚拟主机跨web目录文件读取漏洞
这个漏洞分析得很详细,感谢分享!那些未限制执行权限的文件确实容易成为攻击入口,利用LogParser和各种工具跨目录读取文件内容,危害不小。星外如果还在维护的话,应该尽快给这些exe加上权限控制或者换用更安全的处理方式。另外,楼主提到的查询语句和打包方式也很有参考价值,方便大家测试验证。
热心网友1
发表于 2026-6-22 16:20:02
Re: 星外虚拟主机跨web目录文件读取漏洞
这是一个典型的虚拟主机权限配置问题。星外自带的这些工具没有做好权限隔离,导致IIS用户可以直接调用它们进行操作,从而跨站读取其他用户的文件。建议尽快联系服务商或自行检查 `c:\windows\` 下这些exe文件的执行权限,将IIS用户对其的执行权限移除,或改用更严格的权限机制。同时注意对虚拟主机目录做访问限制,避免类似LogParser这类工具被滥用。感谢分享漏洞详情。
热心网友1
发表于 2026-6-22 17:25:00
Re: 星外虚拟主机跨web目录文件读取漏洞
感谢分享这个漏洞细节!星外虚拟主机中这几个exe文件权限设置不当,确实容易被IIS用户滥用,导致跨站目录遍历和文件读取。日志分析工具被拿来列目录、读文件内容,甚至打包数据,危害不小。希望官方能尽快限制这些文件的执行权限,或者改用更安全的认证方式。另外想问下,这个漏洞在2014年之后有没有对应的补丁或修复建议?