CVE-1999-0934
CVSS5.0
发布时间 :1999-12-15 00:00:00
修订时间 :2005-05-02 00:00:00
NMCOE    

[原文]classifieds.cgi allows remote attackers to read arbitrary files via shell metacharacters.


[CNNVD]Greg Matthews Classifieds.cgi远程读取任意文件漏洞(CNNVD-199912-052)

        
        classifieds.cgi是一个用来在Web页面上放置分类广告的perl脚本,由Greg Mathews维护。
        classifieds.cgi脚本对用户输入未做充分过滤,导致允许远程用户可能以httpd进程的权限读取Web服务器上的任意有权限读取的文件。
        漏洞发现者未公布具体漏洞细节。
        <*链接:http://online.securityfocus.com/bid/2020/info/
         http://xforce.iss.net/static/3102.php
        *>

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: NONE [不会对系统完整性产生影响]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: [--]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-1999-0934
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-1999-0934
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-199912-052
(官方数据源) CNNVD

- 其它链接及资源

http://xforce.iss.net/xforce/xfdb/3102
(UNKNOWN)  XF  http-cgi-classifieds-read(3102)
http://www.securityfocus.com/bid/2020
(UNKNOWN)  BID  2020

- 漏洞信息

Greg Matthews Classifieds.cgi远程读取任意文件漏洞
中危 输入验证
1999-12-15 00:00:00 2005-05-02 00:00:00
远程※本地  
        
        classifieds.cgi是一个用来在Web页面上放置分类广告的perl脚本,由Greg Mathews维护。
        classifieds.cgi脚本对用户输入未做充分过滤,导致允许远程用户可能以httpd进程的权限读取Web服务器上的任意有权限读取的文件。
        漏洞发现者未公布具体漏洞细节。
        <*链接:http://online.securityfocus.com/bid/2020/info/
         http://xforce.iss.net/static/3102.php
        *>

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 如果不需要使用classifieds.cgi脚本,去除此脚本的执行权限或删除之。
        厂商补丁:
        Greg Matthews
        -------------
        目前厂商还没有提供补丁或者升级程序,请按临时处理方法的建议处理。

- 漏洞信息 (20444)

Greg Matthews Classifieds.cgi 1.0 Metacharacter Vulnerability (EDBID:20444)
cgi remote
1998-12-15 Verified
0 Anonymous
N/A [点击下载]
source: http://www.securityfocus.com/bid/2020/info

Classifieds.cgi is a perl script (part of the classifieds package by Greg Matthews) which provides simple classified ads to web sites. Due to improper input validation it can be used to read files on the host machine, with the privileges of the web server. This can be accomplished by embedding the input redirection metacharacter along with a filename into the form field used for e-mail address entry (<input name=return>). Any file that the web server process has read access to can be retrieved. 

Submit email@host</etc/passwd as e-mail address. 		

- 漏洞信息

1669
Greg Mathews classifieds.cgi Shell Metacharacter Arbitrary File Access
Remote / Network Access Information Disclosure
Loss of Confidentiality
Exploit Public

- 漏洞描述

- 时间线

1998-12-15 Unknow
1998-12-15 Unknow

- 解决方案

Products

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站