Security Lab

Выполнение произвольного кода в нескольких сценариях от CGIScript.net

Дата публикации:11.04.2002
Всего просмотров:976
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание:

CGIScript.net распространяет несколько бесплатных и коммерческих perl сценариев.

В четырех из них найдена возможность удаленного выполнения произвольного кода:

csGuestBook - guestbook program

csLiveSupport - web based support/chat program

csNewsPro - website news updater/editor

csChatRBox - web based chat script

Для успешной эксплуатации уязвимости, удаленный нападающий должен декодировать perl код в URL параметрах. Пример:

scriptname.cgi?command=savesetup&setup=PERL_CODE_HERE

Уязвимость найдена в CGISCRIPT.NET csLiveSupport 1.0, csChat-R-Box 1.0, csNews Professional 1.0, csGuestbook 1.0

Ссылки: Источник