Выполнение произвольных команд в TWiki
| Дата публикации: | 31.07.2006 |
| Дата изменения: | 08.12.2008 |
| Всего просмотров: | 2225 |
| Опасность: | Низкая |
| Наличие исправления: | Да |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | Twiki |
| Уязвимые версии: TWiki 4.0.0 - 4.0.4
Описание: Уязвимость существует из-за недостаточной обработки входных данных в параметре "TYPEOF" в twiki/bin/configure. Удаленный пользователь может с помощью специально сформированного HTTP POST запроса выполнить произвольные команды на системе. Для удачной эксплуатации уязвимости доступ к сценарию"twiki/bin/configure" должен быть разрешен всем пользователям. URL производителя: www.twiki.org Решение: Установите последнюю версию с сайта производителя. |
|
| Ссылки: | Security Alert: Configure script allows arbitrary shell command execution |
|
|
http://twiki.org/cgi-bin/view/Codev/SecurityAlertCmdExecWithConfigure |