Выполнение произвольных команд в Perlbot vpopmail CGIApps (vadddomain, vpasswd)

Дата публикации:
28.10.2002
Дата изменения:
16.10.2006
Всего просмотров:
842
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: vpopmail-CGIApps (http://diario.buscadoc.org/index.php) - администратор домена qmail-vpopmail и CGI приложение для изменения пароля vpopmail, написанное на Python. Обеспечивая специально обработанные данные в поле формы domain (добавляя ";"), сценарий выполнит команды, заданные после ";". Уязвимость позволяет атакующему выполнять произвольный код сценария как setuid пользователь скрипта (обычно vpopmail), добавлять/изменять и удалять учетные записи/домены из базы данных, добавлять и редактировать системные файлы, и т.д. Пример:

В поле "domini" добавте:

"; echo 'test' > /tmp/vpoptest"


Ссылки: vpopmail CGIApps Arbitrary Command Execution (vadddomain, vpasswd)
или введите имя

CAPTCHA