Выполнение произвольных команд в Happymall e-commerce

Дата публикации:
08.05.2003
Всего просмотров:
684
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности ввода обнаружена в Happymall e-commerce. Два сценария позволяют удаленному пользователю выполнять произвольные команды с привилегиями Web сервера.

Сценарий 'normal_html.cgi' не фильтрует данные, представленные пользователем, перед передачей их запросу open(). Удаленный пользователь может сконструировать специально обработанный URL, чтобы заставить систему выполнить произвольные команды. Пример:

/shop/normal_html.cgi?file=|id|

/shop/normal_html.cgi? file=;id|
Также уязвим сценарий 'member_html.cgi'.

Уязвимость обнаружена в Happymall E-Commerce 4.3-4.4

Ссылки: The Vulnerability of File Open Function in

или введите имя

CAPTCHA