(R2)惠普Loadrunner /惠普性能中心虚拟表服务器(VTS) \ web \ admin \数据。js远程文件删除

在开发的一个检测插件之前惠普VTS的弱点,我们的一个工程师发现另外一个问题,允许攻击者未经过身份验证的变形战机服务器上删除任意文件。这是虚拟表服务器性能测试中心,一个组件12.50 LoadRunner VTS的运行在一个32位Windows 2008服务器主机。漏洞被发现[HP_VTS_INSTALL_DIR] \ web \ admin \ data.js,这是一个调度程序来处理HTTP请求。“f传递变量的目的是保存参数的URL查询字符串(f = querystring.parse (a))或者身体后(f = c.body)。当用户上传一个文件与一个POST请求url /数据/ import_csv和身体包含“附加:格式;name = fileToUpload”、“路径“参数(f.path)被设置为[HP_VTS_INSTALL_DIR] \ web \ admin \ web文件\ \ (some_randomly_generated_file_name)。这是上传文件的位置是投入。当系统完成处理文件中指定f.path,它试图删除它。