xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Matt Kruse Calendar脚本可以远程执行代码


发布时间:2000-09-11
更新时间:2000-09-11
严重程度:
威胁程度:普通用户访问权限
错误类型:输入验证错误
利用方式:服务器模式

受影响系统
Matt Kruse Calendar Version 2.2
详细描述
calender.pl和calendar_admin.pl脚本对输入请求缺少正常的检查,calender_admin.pl 脚本是用来用户修改配置文件的,但calendar_admin.pl把用户的输入传递给PERL 的open()函数而造成可以以WEB身份执行任意代码。

测试代码
http://www.XXXX.domain/cgi-bin/calender_admin.pl 出现用户对话框时输入||,如|ping 127.0.0.1| Matt Kruse Calendar脚本可以到下面的站点去查询: http://www.mattkruse.com/scripts/calendar/

解决方案
尚无

相关信息
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved