Last Lines CGI — свободно доступный сценарий,
написанный в Perl и поддерживаемый Matrix’s CGI Vault.
Сценарий позволяет печатать указанное
число линий из журнала регистрации (или
любого текстового файла) на web странице.

Найдено 2 уязвимости:

1. Lastlines.cgi не фильтрует метасимволы от Web
запросов. В результате, удаленный
нападающий, может выполнить произвольные
команды на сервере, с привилегиями Web
сервера.

2. Lastlines.cgi уязвим к обходу директории (directory
traversal). Уязвимость позволяет удаленному
нападающему создать злонамеренный Web
запрос, содержащий последовательность ‘../’,
который позволит прочитать любой файл на
уязвимом сервере.

Уязвимость найдена в Matrix’s CGI vault Last Lines 2.0
для Apache Group Apache 1.3.17-1.3.22



Оставить мнение