PHPPing远程命令执行漏洞发布时间:2003-03-31 更新时间:2003-03-31 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:7030 受影响系统 PHPPing 0.1详细描述 PHPPing实现上存在漏洞,远程入侵者可以利用漏洞在主机上执行任意命令。漏洞存在于index.php脚本,它没有充分过滤用户输入中可能夹带的恶意shell转义符,入侵者可以在输入的参数中放入恶意的shell转义符使服务器脚本以Web进程的权限执行任意命令。 测试代码 http://www.target.com/phpping/index.php?pingto=www.test.com%20|%20dir 解决方案 厂商还未提供解决方案。 相关信息 gregory.lebras@security-corp.org [SCSA-009] Remote Command Execution Vulnerability in PHP Ping http://archives.neohapsis.com/archives/bugtraq/2003-03/0111.html |
