несколько уязвимостей в un-cg

Дата публикации:
18.07.2001
Дата изменения:
17.10.2006
Всего просмотров:
854
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Un-CGI - небольшая программа, которая анализирует опции, типа QUERY_STRING и запуски CGI приложений. Так как весь синтаксический анализ делает uncgi, остальные CGI сценарии просты, и быстро делаемы. Это дает возможность, выполнять uncgi как автономный выполнимый модуль или использовать его в библиотечных формах. Найденные проблемы находятся в исполняемой программе, а не в библиотеки.

1. Uncgi не делает никакой относительной проверки директории; это означает, что любой может выполнять любую программу на отдаленной системе как пользователь http, используя обратный путь к директории.

2. Uncgi не проверяет сценарий, который он выполняет, на наличие каких либо исполняемых битов. Поскольку большинство сценариев CGI – это скрипты, uncgi будет пробовать исполнить программу, расположенную позади #! На первой строке CGI скрипта подают имя файла сценария CGI непосредственно как параметр. Это означает, что сценарий CGI, который не может быть выполним для uncgi, все равно будет исполняться.
 


или введите имя

CAPTCHA