漏洞信息　　IBM Tivoli Access Manager是一款商业性质企业和电子商务应用程序策略访问控制解决方案。　　IBM Tivoli Access Manager的TAM插件不充分用户提交的URI数据，，远程攻击者可以利用漏洞以WEB权限查看系统文件内容。　　问题是插件包含的pkmslogout对用户提交给'filename'参数数据缺少过滤。提交包含多个"../"字符作为参数数据，可绕过WEB ROOT限制以WEB权限查看系统文件内容。　　CVE ID: CVE-2006-0513　　CNCVE ID:CNCVE-20060513　　漏洞消息时间:2006-02-04　　漏洞起因　　输入验证错误　　影响系统　　IBM Tivoli Access Manager 5.1.0.10, 6.0.0　　危害　　远程攻击者可以利用漏洞以WEB权限查看系统文件内容。　　攻击所需条件　　攻击者必须访问IBM Tivoli Access Manager。　　测试方法　　?filename=../../../../../../../etc/passwd　　厂商解决方案　　补丁下载：　　Fixpack 5.1.0-TIV-WPI-FP0017 is available at:　　 ?uid=swg24011562　　Fixpack 6.0.0-TIV-WPI-FP0001 is available at:　　?uid=swg24011561　　漏洞提供者　　Timothy D. Morgan 　　漏洞消息链接　　?l=bugtraq&m=113907623623942&w=2　　漏洞消息标题　　VSR Advisory: IBM Tivoli Access Manager - Web Server Plug-in File