http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200312-025

PeopleSoft企业软件集成多个商务功能，包括人事、客户关系、供求关系、财务等管理。PeopleSoftPeopleToolsIClientservlet存在一个安全问题，远程攻击者可以利用这个漏洞以WEB权限执行任意代码。PeopleTools应用程序架构提供PeopleTools和非PeopleTools应用程序的实时数据共享，IClientservlet在PeopleSoftWeb服务器上默认配置运行，处理验证，会话管理和用户档案的核心功能，它作为Javaservlet可访问，并可通过HTTP上传文件。通过IClientservlet上传的文件存储在Webroot目录中，通过HTTP表单上传的文件放置在WEBROOT目录中，攻击者可以指定文件名和上传的文件内容，虽然文件存储的目录名基于一个随机函数生成，但是这个函数基于服务器时间来生成目录，结果可导致目录名不是很随机，攻击者可以在PeopleSOft安装来猜测时间，并估计目录名，通过WEB请求执行。

来源:XF
名称:peoplesoft-iclientservlet-file-upload(12805)
链接:http://xforce.iss.net/xforce/xfdb/12805
来源:ISS
名称:20031112IClientServletRemoteCommandExecutionVulnerability
链接:http://xforce.iss.net/xforce/alerts/id/157
来源:BID
名称:9041
链接:http://www.securityfocus.com/bid/9041