Stockman Shopping Cart远程执行任意命令漏洞发布时间:2003-05-25 更新时间:2003-05-25 严重程度:高 威胁程度:普通用户访问权限 错误类型:输入验证错误 利用方式:服务器模式 BUGTRAQ ID:7485 受影响系统 Dr. Jay Stockman Stockman Shopping Cart 7.8详细描述 Stockman Shopping Cart软件的shop.plx脚本没有对用户输入的URI参数做充分的过滤,远程攻击者可能利用此漏洞在主机上执行任意命令。此漏洞在7.8版的软件上被发现,也可能影响到其他的版本。 测试代码 http://www.example.com/cgi-bin/shop.plx/SID=313130332/page=;cat%20..;ls| 解决方案 厂商还未提供解决方案。 相关信息 Aleksey Sintsov <theforce@s-mail.com> |
