Security Lab

Выполнение произвольных команд в Solution Super Site Searcher

Дата публикации:06.09.2002
Всего просмотров:930
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Super Site Searcher (http://www.supercgis.com/site_searcher/) – система поиска на Web сайте.

Метасимволы не фильтруются в строке запроса в запросе к уязвимому сценарию поискового сервера. Уязвимость позволяет передавать команды непосредственно в через оболочку. Удаленный атакующий может выполнять произвольные команды с привилегиями процесса Web сервера.

Пример:

http://target/searchenginepath/site_searcher.cgi?page=|command|

уязвимость обнаружена в Independent Solution Simple Site Searcher, Independent Solution Super Site Searcher