VULHUB ™

TWiki是一款灵活易用、功能强大的企业协作平台。 TWiki INCLUDE函数允许恶意用户创建Perl反引号(``)运算符可以执行的命令行，攻击者可以使用特制的URI通过shell执行任意命令。 由于没有正确的对shell元字符检查INCLUDE变量的rev参数，因此TWiki受包含有管道和shell命令的修改编号的影响。所有使用TWiki::Func::readTopicText函数读取之前主题修改的插件和附加组件都受这个漏洞的影响，如TWiki:Plugins.RevCommentPlugin和TWiki:Plugins.CompareRevisionsAddon。

TWiki是一款灵活易用、功能强大的企业协作平台。 TWiki INCLUDE函数允许恶意用户创建Perl反引号(``)运算符可以执行的命令行，攻击者可以使用特制的URI通过shell执行任意命令。 由于没有正确的对shell元字符检查INCLUDE变量的rev参数，因此TWiki受包含有管道和shell命令的修改编号的影响。所有使用TWiki::Func::readTopicText函数读取之前主题修改的插件和附加组件都受这个漏洞的影响，如TWiki:Plugins.RevCommentPlugin和TWiki:Plugins.CompareRevisionsAddon。