Выполнение произвольных команд в TWiki

Дата публикации:
28.09.2005
Дата изменения:
09.12.2008
Всего просмотров:
454
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Twiki
Уязвимые версии: TWiki TWikiRelease03Sep2004и более ранние версии.

Описание:
Уязвимость позволяет удаленному пользователю скомпрометировать целевую систему.

Уязвимость существует из-за недостаточной обработки входных данных в атрибуте "rev в переменной "%INCLUDE". Удаленный пользователь может с помощью символа "|" внедрить и выполнить произвольные команды на системе. Пример:

%INCLUDE{ "Main.TWikiUsers" rev="2|[code]" }%

URL производителя: www.twiki.org

Решение: Установите исправление с сайта производителя.

Ссылки: http://twiki.org/cgi-bin/view/Codev/SecurityAlertExecuteCommandsWithInclude

или введите имя

CAPTCHA