Выполнение произвольных команд в CSV_DB

Дата публикации:
28.06.2005
Всего просмотров:
5862
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
CSV_DB 1.x
i_DB 1.x
Уязвимые версии: CSV_DB 1.00

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре file сценария 'csv_db.cgi'. Удаленный пользователь может добавить произвольную команду к параметру и выполнить ее с привилегиями web сервера на целевой системе. Пример:

http://[target]/csv_db/csv_db.cgi?fil e=file.extention|command|

URL производителя:
www.k-collect.net/cgi_lab/csv_db.htm

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: remote command execution in csv-Database Ver1.00

или введите имя

CAPTCHA