Xymon xymond 命令注入漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1150023 漏洞类型 代码注入
发布时间 2016-02-23 更新时间 2019-07-15
CVE编号 CVE-2016-2056 CNNVD-ID CNNVD-201602-425
漏洞平台 N/A CVSS评分 6.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201602-425
|漏洞详情
Xymon是一套开源的、跨平台的网络监控应用程序。该应用程序可通过网页查看各服务器的运行状态,并支持Email及短信通知功能。xymond是其中的一个用于Xymon服务器的网络守护进程。 Xymon的xymond中存在安全漏洞。远程攻击者可借助web/useradm.c或web/chpasswd.c文件中的‘adduser_name’参数中的shell元字符利用该漏洞执行任意命令。以下版本受到影响:Xymon 4.1.x版本,4.2.x版本,4.3.25之前4.3.x版本。
|参考资料

来源:DEBIAN
链接:http://www.debian.org/security/2016/dsa-3495
来源:sourceforge.net
链接:https://sourceforge.net/p/xymon/code/7892/
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/537522/100/0/threaded
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/135758/Xymon-4.3.x-Buffer-Overflow-Code-Execution-Information-Disclosure.html
来源:BID
链接:http://www.securityfocus.com/bid/83262