HIS Auktion脚本泄漏文件和远程执行命令的漏洞

漏洞信息详情

HIS Auktion脚本泄漏文件和远程执行命令的漏洞

• CNNVD编号：CNNVD-200106-042
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2001-0212
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-02-12
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2012-11-28
  
• 厂        商：
  
  his
• 漏洞来源：
  cuctema@ok.ru※>cu…

HIS Auktion是一个链接分类CGI脚本。

HIS Auktion实现上存在输入验证漏洞，远程攻击者可以利用此漏洞以Web进程的权限在服务器上执行任意命令。

临时解决方法：

如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 对用户输入进行过滤

$filename=~s/(\[\]\;\:\/\$\!\$\&\`\\\(\)\{\}\”)/\\$1/g;

厂商补丁：

HIS Software

————

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.his-software.de/” target=”_blank”>

http://www.his-software.de/

来源: BID

名称: 2367

链接:http://www.securityfocus.com/bid/2367

来源: BUGTRAQ

名称: 20010212 HIS Auktion 1.62: “show files” vulnerability and remote command execute.

链接:http://archives.neohapsis.com/archives/bugtraq/2001-02/0218.html