WebWho+ 存在远程命令执行漏洞发布时间:1999-12-26 更新时间:1999-12-26 严重程度:中 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Misc详细描述 WEBWHO+是一个由Tony Greenwood编写的免费CGI脚本,是用来通过WWW来执行whois查询,在一些参数上它虽然提供了一些对SHELL字符的检测,但忘记了type变量允许恶意攻击者输出到命令到SHELL,这就可以通过WEB的权限来执行任意命令。 测试代码 可以通过下面的程序来测试: http://www.securityfocus.com/data/vulnerabilities /exploits/hhp-webwho.pl 解决方案 不要运行webwho.pl文件 相关信息 |
