Удаленное выполнение команд в CSVForm

Дата публикации:
13.12.2001
Всего просмотров:
593
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание:

CSVForm - Perl сценарий, используемый для форматирования ввода из cgi формы в текстовый файл, обычно используемый для более позднего импорта в базу данных.
CSVForm не в состоянии должным образом проверять снабженный пользователем ввод, пропущенный как переменная файла. Этот ввод позже используется, чтобы открыть файл для записи. Злонамеренно сформированные URL, представленный сценарию, может содержать команды оболочки, которые будут выполнены с уровнем привилегии Web сервера (пользователь 'никто'). В результате, нападающий может выполнять произвольный код на уязвимой системе.
Пример:
http://server/cgi-bin/csvform.pl?file=COMMAND_GOES_HERE%00|

Уязвимость найдена в
Mutasem Abudahab CSVForm 0.1
Mutasem Abudahab CSVFormPlus 1.0
 



Ссылки: http://www.ezscripting.com/scripts/csvform.html
или введите имя

CAPTCHA