AdRotate Pro 存在任意命令可执行漏洞发布时间:2001-12-25 更新时间:2001-12-25 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 AdRotate Pro详细描述 AdRotate是由PERL语言写的广告轮询软件,使用mydslq驱动使用DBI访问数据库, 软件中有adrotate.pm模块包含'get_input'函数处理的数据由客户端通过GET或者 POST方式提交,这个模块被多个AdRotate脚本访问使用并把你好结果存储在'in'的数 组中。 不过此函数中使用了oepn()调用,可以导致产生很普遍的管道攻击,导致任意命令 可执行漏洞。 测试代码 见描述 解决方案 尚无 相关信息 GOBBLES@hushmail.com http://www.bugtraq.org/ |
