OMail Webmail另一远程命令执行漏洞 CVE-2004-1993 CNNVD-200405-027
10.0
AV
AC
AU
C
I
A
发布:
2004-05-04
修订:
2017-07-11
Omail是一款由perl编写的结合qmail的WEB邮件系统。 Omail由于未能正确过滤用户提供的包含SHELL元字符的URI参数,远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。 omail.pl虽然对\"和\'\'字符进行了过滤,但对SHELL元字符没有任何检查,可导致攻击者提交类似$(rm -rf /)的命令以WEB进程权限执行。
漏洞利用/PoC
暂无可用Exp或PoC
受影响的平台与产品
当前有3条受影响产品信息
