MnSCU/PALS WebPALS远程命令执行漏洞

漏洞信息详情

MnSCU/PALS WebPALS远程命令执行漏洞

• CNNVD编号：CNNVD-200106-016
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2001-0216
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-02-14
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  mnscu_pals
• 漏洞来源：
  UkR-XblP※ cuctema@…

pals-cgi脚本源于出自St.Olaf大学的一个想法，用来提供一个到PALS Library System的WWW接口。这个想法随后在Georgia State大学得以实现。
pals-cgi实现上存在一个安全问题，可以被用来读取系统文件或者执行系统命令。
由于脚本对用户输入信息没有充分处理，导致了很严重的安全问题。入侵者利用这个漏洞可以看任何已知文件名的文件，并且可能以root权限执行系统命令。该问题存在于 \”pine pipe bug\” 之中。

厂商补丁：
MnSCU/PALS
———-
目前厂商已经发布了WebPALS version 16r6_2以修复这个安全问题，请到厂商的主页下载：

http://www.pals.msus.edu/webpals/” target=”_blank”>
http://www.pals.msus.edu/webpals/

来源: BID
名称: 2372
链接:http://www.securityfocus.com/bid/2372

来源: BUGTRAQ
名称: 20010212 PALS Library System “show files” Vulnerability and remote command execution
链接:http://archives.neohapsis.com/archives/bugtraq/2001-02/0220.html

来源: XF
名称: webpals-library-cgi-url(6102)
链接:http://xforce.iss.net/xforce/xfdb/6102