Security Lab

Выполнение произвольных команд в Happymall e-commerce

Дата публикации:08.05.2003
Всего просмотров:992
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость в проверке правильности ввода обнаружена в Happymall e-commerce. Два сценария позволяют удаленному пользователю выполнять произвольные команды с привилегиями Web сервера.

Сценарий 'normal_html.cgi' не фильтрует данные, представленные пользователем, перед передачей их запросу open(). Удаленный пользователь может сконструировать специально обработанный URL, чтобы заставить систему выполнить произвольные команды. Пример:

/shop/normal_html.cgi?file=|id|

/shop/normal_html.cgi? file=;id|
Также уязвим сценарий 'member_html.cgi'.

Уязвимость обнаружена в Happymall E-Commerce 4.3-4.4

Ссылки: The Vulnerability of File Open Function in