VULHUB ™

CalendarScript是一个基于Web的事件安排、管理、发布软件包。 软件包中的calender.pl和calendar_admin.pl脚本实现上存在输入验证漏洞，远程攻击者利用此漏洞通过shell字符执行任意命令。calendar_admin.pl脚本提示用户修改配置文件，但是它在验证用户的时候已经访问了指定的配置文件，而且直接使用perl的open()调用用户输入的数据，恶意用户可以使用管道符执行后面的命令。

CalendarScript是一个基于Web的事件安排、管理、发布软件包。 软件包中的calender.pl和calendar_admin.pl脚本实现上存在输入验证漏洞，远程攻击者利用此漏洞通过shell字符执行任意命令。calendar_admin.pl脚本提示用户修改配置文件，但是它在验证用户的时候已经访问了指定的配置文件，而且直接使用perl的open()调用用户输入的数据，恶意用户可以使用管道符执行后面的命令。