Ranson Johnson mailto.cgi管道地址漏洞发布时间:2000-05-05 更新时间:2000-05-05 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Ranson Johnson Combination Mail-to and Credit Card Orderform 1.9 and previous详细描述 Ranson Johnson"s Combination Mail-to 和Credit Card Orderform中的变量 "emailadd"值使用管道来打开,这个值通过用户来提供,这可以导致而已用户通过 对"emailadd"值提供精心编制的值来执行任意命令。 测试代码 尚无 解决方案 最新的版本不存在这样的问题,可以到下面的站点去下载: http://www.rlaj.com/ Karl Hanmore <karl@system-administrator.net> 也发布了一补丁: http://www.securityfocus.com/data/vulnerabilities/patches/adv2000090701.patch 相关信息 |
