Lucene search
RootSSV:4290HistoryOct 25, 2008 - 12:00 a.m.
AnyForm脚本远程可执行任意命令漏洞
2008-10-2500:00:00
Root
www.seebug.org
21
0.013 Low
EPSS
Percentile
85.7%
BugCVE: CVE-1999-0066
BUGTRAQ: 719
AnyForm是一个利用简单表单发送Email的CGI脚本,由John Roberts编写。
AnyForm版本2(AnyForm2)实现上存在输入验证漏洞,远程攻击者可以利用此漏洞在主机上以Web进程的权限执行任意命令。
AnyForm未经检查就把从表单得到的用户输入传递给SYSTEM系统调用,远程攻击者可能在输入中插入“;”等转义字符而执行任意命令
Unix版本
暂无
创建一个表单包含以下隐含字段:
<input type="hidden" name="AnyFormTo" value="[email protected];cmd-to execute with whatever arguments;/usr/lib/sendmail -t [email protected]">
Related
cve
cve
CVE-1999-0066
1999-09-29 04:00:00
cvelist
cvelist
CVE-1999-0066
1999-09-29 04:00:00
nessus
nessus
AnyForm CGI Arbitrary Command Execution
2002-08-26 00:00:00