CVSTrac远程任意命令执行漏洞
作者:互朕网 文章来源:互朕网 更新时间:2013-7-23

受影响系统:
CVSTrac CVSTrac 1.1.3
描述:
--------------------------------------------------------------------------------
CVSTrac是一个为CVS 设计的补丁和错误跟踪系统。

CVSTrac不正确处理用户提交的URI输入,远程攻击者可以利用这个漏洞以WEB权限在系统上执行任意命令。

问题存在于filediff,由于对用户提交的包含SHELL元字符的数据缺少充分过滤,攻击者可以提交包含恶意命令的数据作为参数,可以WEB进程权限执行。

<*来源:Richard Ngo (rtngo@yahoo.com)

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=109173359428253&w=2
*>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

Richard Ngo (rtngo@yahoo.com)提供了如下测试方法:

filediff?f=CVSROOT/rcsinfo&v1=1.1&v2=1.2;w;

建议:
--------------------------------------------------------------------------------
厂商补丁:

CVSTrac
-------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.cvstrac.org/

收藏 】 【打印】 【关闭
  最新文章
  点击排行
盛世互联(中国)网络技术有限公司 深圳市及时网络技术有限公司 联合版权 中国市场授予<<中国服务品牌企业>>
客服热线:0755-8376 8888(120线) 免费热线:800-830-9577 800-830-9377 ICP经营许可证: 粤B2-20064003号
北京客服:010-51663652 珠海客服:0756-6171956 深圳客服:0755-83765888
广州客服:020-61139366 彩文传真:0755-83765599
商务地址:中国.深圳经济特区.罗湖区人民南路深圳发展中心大厦10层