CDomainFree远程可执行任意命令漏洞

漏洞信息详情

CDomainFree远程可执行任意命令漏洞

• CNNVD编号：CNNVD-199906-003
• 危害等级： 超危
  
  
• CVE编号：
  CVE-1999-1063
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  1999-06-01
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-28
  
• 厂        商：
  
  cdomain
• 漏洞来源：
  Salvatore Sanfilip…

CdomainFree是一个商业的CGI软件包，用于提供基于Web的Whois查询服务。
CdomainFree 2.5免费版以前版本实现上存在一个输入验证漏洞，远程攻击者可能利用此漏洞以Web服务进程的权限在主机上执行任意命令。
漏洞存在于whois_raw.cgi脚本，它对用户输入未做充分过滤，远程攻击者可能在输入里插入某些shell转义字符比如\”|\”来执行任意命令。此漏洞影响whois_raw.cgi v1.x和cdomain.pl2.0到2.4版本的程序。新版软件不受影响，因它们直接连接到Whois服务器。

厂商补丁：
Cdomain
——-
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.cdomain.com/” target=”_blank”>
http://www.cdomain.com/

来源: XF
名称: http-cgi-cdomain(2251)
链接:http://xforce.iss.net/static/2251.php

来源: BID
名称: 304
链接:http://www.securityfocus.com/bid/304

来源: BUGTRAQ
名称: 19990601 whois_raw.cgi problem
链接:http://www.securityfocus.com/archive/1/14019

来源：NSFOCUS
名称：3411
链接：http://www.nsfocus.net/vulndb/3411