CSVForm远程执行任意命令漏洞

漏洞信息详情

CSVForm远程执行任意命令漏洞

• CNNVD编号：CNNVD-200112-090
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2001-1187
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2001-12-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  mutasem_abudahab
• 漏洞来源：
  Jason Gomes※ jgome…

CSVForm是一款基于*NIX平台的Perl CGI脚本，用于把表格输入的数据格式化为逗号分割的数据，然后保存到文本文件中，一般是为了后续的数据库导入而用。
该脚本存在一个输入验证漏洞，允许远程攻击者以Web Server身份执行任意命令。
这是由于\”csvform.pl\”没有对用户的输入的\’\’file\’\’变量进行过滤，然后直接交给open()函数处理的结果。
有问题的代码如下：
sub modify_CSV
{
if(open(CSV，$_[0])){
}
else{
goto ＆produce_error(
\”Can\’\’t open CSV file.＼n\”，
\”Please， check that you have provided the cgi script with
correct CSV file\”，
\” path in the HTML form.＼n\”
);
}

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时停止使用csvform.pl

* 在脚本中指定CSV文件名，而不是由用户提供。

* 在脚本中过滤用户输入数据中的shell元字符以及NULL字符

来源: BUGTRAQ
名称: 20011211 CSVForm (Perl CGI) Remote Execution Vulnerability
链接:http://online.securityfocus.com/archive/1/244908

来源: XF
名称: csvform-cgi-execute-commands(7692)
链接:http://www.iss.net/security_center/static/7692.php

来源: BID
名称: 3668
链接:http://www.securityfocus.com/bid/3668