CSNews Professional远程执行任意命令漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1204486 漏洞类型 输入验证
发布时间 2002-04-08 更新时间 2005-10-20
CVE编号 CVE-2002-1753 CNNVD-ID CNNVD-200212-147
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200212-147
|漏洞详情
csNewsProfessional是一款基于WEB的新闻项目管理程序,运行在多种Unix和Linux系统下,也可运行在MicrosoftWindows操作系统下。csNewsProfessional对用户在URL的输入没有正确充分的过滤,可导致攻击者以Web进程的权限在目标系统上执行任意命令。csNewsProfessional由于访问验证错误,任意用户可以在URL上提供PERL代码作为配置数据来写入到"setup.cgi"文件中,并在服务器上以Web进程的权限执行这些PERL代码。注意用户提供的任何PERL代码必须转换为URL编码形式。
|参考资料

来源:XF
名称:cgiscript-url-execute-commands(8636)
链接:http://xforce.iss.net/xforce/xfdb/8636
来源:BID
名称:4451
链接:http://www.securityfocus.com/bid/4451
来源:BUGTRAQ
名称:20020408multipleCGIscript.netscripts-RemoteCodeExecution
链接:http://cert.uni-stuttgart.de/archive/bugtraq/2002/04/msg00106.html
来源:NSFOCUS
名称:2563
链接:http://www.nsfocus.net/vulndb/2563