Выполнение произвольных команд в E-Cart Mod

Дата публикации:	25.04.2005
Всего просмотров:	1126
Опасность:	Высокая
Наличие исправления:	Нет
Количество уязвимостей:	1
CVE ID:	Нет данных
Вектор эксплуатации:	Удаленная
Воздействие:	Компрометация системы
CWE ID:	Нет данных
Наличие эксплоита:	Нет данных
Уязвимые продукты:	E-Cart 1.x (модуль к WebAPP)
	Уязвимые версии: E-Cart Mod 1.1 Описание: Уязвимость позволяет удаленному пользователю выполнить произвольные команды на целевой системе с привилегиями web сервера. Уязвимость существует в сценарии index.cgi из-за недостаточной обработки входных данных в переменных 'cat' и 'art' перед отправкой данных в функцию open(). Удаленный пользователь может с помощью специально сформированного URL выполнить произвольные команды на целевой системе. Пример: http://[target]/DIRTOECART/index.cgi?action= viewart&cat=reproductores_dvd&art=reproduc tordvp-ns315.dat\|uname%20-a\| URL производителя: www.yazaport.com/kadfors/kwamd/index.cgi?action=downloadinfo&cat=mods&id=1 Решение: Способов устранения уязвимости не существует в настоящее время.
Ссылки:	E-Cart v1.1 Remote Command Execution

Выполнение произвольных команд в E-Cart Mod

Подпишитесь на email рассылку