Security Lab

Выполнение произвольных команд в CSV_DB

Дата публикации:28.06.2005
Всего просмотров:6465
Опасность:
Высокая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: CSV_DB 1.x
i_DB 1.x
Уязвимые версии: CSV_DB 1.00

Описание:
Уязвимость позволяет удаленному пользователю выполнить произвольные команды на целевой системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре file сценария 'csv_db.cgi'. Удаленный пользователь может добавить произвольную команду к параметру и выполнить ее с привилегиями web сервера на целевой системе. Пример:

http://[target]/csv_db/csv_db.cgi?fil e=file.extention|command|

URL производителя:
www.k-collect.net/cgi_lab/csv_db.htm

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: remote command execution in csv-Database Ver1.00