несколько уязвимостей в un-cg

Дата публикации:
18.07.2001
Дата изменения:
17.10.2006
Всего просмотров:
881
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

Un-CGI - небольшая программа, которая анализирует опции, типа QUERY_STRING и запуски CGI приложений. Так как весь синтаксический анализ делает uncgi, остальные CGI сценарии просты, и быстро делаемы. Это дает возможность, выполнять uncgi как автономный выполнимый модуль или использовать его в библиотечных формах. Найденные проблемы находятся в исполняемой программе, а не в библиотеки.

1. Uncgi не делает никакой относительной проверки директории; это означает, что любой может выполнять любую программу на отдаленной системе как пользователь http, используя обратный путь к директории.

2. Uncgi не проверяет сценарий, который он выполняет, на наличие каких либо исполняемых битов. Поскольку большинство сценариев CGI – это скрипты, uncgi будет пробовать исполнить программу, расположенную позади #! На первой строке CGI скрипта подают имя файла сценария CGI непосредственно как параметр. Это означает, что сценарий CGI, который не может быть выполним для uncgi, все равно будет исполняться.