H-Sphere Webshell Command.C Mode URI参数执行命令漏洞发布时间:2003-01-06 更新时间:2003-01-06 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:6537 受影响系统 Positive Software H-Sphere 2.3 RC3详细描述 H-Sphere Webshell组件存在一个远程执行命令漏洞。 源文件'command.C'对用户输入的'mode' URI参数检查不足,远程攻击者可以通过这个URI参数提交shell命令以Webshell的权限执行任意命令。 H-Sphere 2.3 RC3及以前的版本存在这个漏洞。 测试代码 无 解决方案 Positive Software H-Sphere 2.3 RC3: Positive Software Patch H-Sphere 2.4 Patch http://www.psoft.net/shiv/U23/u-webshell.tgz 相关信息 发现者:Carl Livitt <carl@learningshophull.co.uk> 参考资料:http://online.securityfocus.com/archive/1/305313 |
