PeopleSoft企业软件集成多个商务功能,包括人事、客户关系、供求关系、财务等管理。 PeopleSoft PeopleTools包含的搜索CGI脚本对用户提交参数缺少充分过滤,远程攻击者可以利用这个漏洞进行目录遍历攻击。 psdoccgi.exe搜索CGI应用程序用于搜索PeopleBooks在线文档,应用程序接收外部输入两个参数,headername和footername,允许用户选择页头和页脚本内容返回给请求者,由于对此参数数据缺少充分过滤,攻击者提交恶意参数可绕过WEB ROOT限制,以WEB