Уязвимость в проверке правильности ввода обнаружена в Happymall e-commerce.
Два сценария позволяют удаленному пользователю выполнять произвольные
команды с привилегиями Web сервера.
Сценарий normal_html.cgi не фильтрует данные, представленные
пользователем, перед передачей их запросу open(). Удаленный пользователь
может сконструировать специально обработанный URL, чтобы заставить систему
выполнить произвольные команды. Пример:
/shop/normal_html.cgi?file=|id|
/shop/normal_html.cgi? file=;id|
Также уязвим сценарий member_html.cgi.
Уязвимость обнаружена в Happymall E-Commerce 4.3-4.4.
