Afuse 'afuse.c' SHELL命令注入漏洞

2008-07-1700:00:00

Root

www.seebug.org

0.0004 Low

EPSS

Percentile

5.7%

JSON

BUGTRAQ ID: 30245
CVE ID：CVE-2008-2232
CNCVE ID：CNCVE-20082232

Afuse是一款类似autofs工具的文件系统自动挂接程序。
Afuse不正确处理命令行参数，本地攻击者可以利用漏洞以高特权执行任意命令。
afuse接收如下形式的命令行：
afuse /path -o mount_template="mount-script %m %r"
unmount_template="unmount-script %m %r"
%m是挂入点而%r是下个要访问的组件路径名，而程序对元字符缺少过滤，传递恶意的字符串可导致system()以高特权执行任意命令。

Afuse 0.2-2
升级到Afuse 0.2-3：
<a href=“http://afuse.sourceforge.net/” target=“_blank”>http://afuse.sourceforge.net/</a>


                                                使用类似如下的路径  
   /path/&quot;;arbitrary command;&quot;
  /path/`arbitrary command`
可导致任意命令执行。

0.0004 Low

EPSS

Percentile

5.7%

JSON

Related for SSV:3670