Выполнение произвольных команд в DNS Tools
| Дата публикации: | 06.05.2009 |
| Всего просмотров: | 2363 |
| Опасность: | Высокая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | CVE-2009-1361 |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Компрометация системы |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | DNSTools |
| Уязвимые версии: DNS Tools от 2009-04-17
Описание: Уязвимость существует из-за недостаточной обработки входных данных в параметрах "ns" и "host" в сценарии dig.php перед вызовом функции "system()". Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольные команды на системе. Пример: http://[host]/dig.php?ns=||COMMAND HERE||&host=mortal-team.net&query_type=NS&status=digging URL производителя: gscripts.net/free-php-scripts/Other/DNS_Tools/details.html Решение: Способов устранения уязвимости не существует в настоящее время. |