Security Lab

Удаленное выполнение произвольных команд в GoScript

Дата публикации:08.08.2004
Дата изменения:17.10.2006
Всего просмотров:1589
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: GoScript 2.0

Описание: Уязвимость в GoScript позволяет удаленному пользователю выполнить произвольные команды на целевой системе.

Сценарий go.cgi не проверяет данные, представленные пользователем. Удаленный пользователь может представить специально обработанный URL, чтобы выполнить команды операционной системы на целевой системе с привилегиями Web службы.

Пример/Эксплоит:

http://[target]/go.cgi?|id|
http://[target]/go.cgi?artarchive=|id|

URL производителя: http://www.slack.net/~pete/perl

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.