KW Whois远程命令可被执行发布时间:2000-11-03 更新时间:2000-11-03 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Kootenay Web Inc whois 1.0详细描述 WHOIS是一个用来发现注册域名的信息和技术,其中在LINUX服务器上运行了 in Kootenay Web Inc's Whois 存在漏洞可以执行远程命令。在表单中 没有很好的检查用户输入,只要远程用户提供一个SHELL命令,就可以被执行。 不安全的代码如下: $site = $query->param('whois'); .... $app = `whois $site`; print "$app ....... 测试代码 你只要在表单中加;id就可以执行id的命令。 解决方案 尚无 相关信息 |
