VULHUB ™

BugCVE: CAN-1999-1374 perlshop.cgi是一个用Perl编写的基于Web的在线购物程序。perlshop.cgi实现上存在输入验证漏洞，远程攻击者可能利用此漏洞在主机上以Web进程的权限执行任意命令。 有问题的代码在这里：<pre>open (MAIL, |$blat_loc - -t $to -s $subject ) || &err_trap( Can t open $blat_loc!\\n )</pre> $blat_loc定义的是NT下的一个命令行发信程序blat，$to是用户输入的邮件地址，程序中没有过滤“<>|&”等特殊字符，入侵者可以在邮件地址中插入系统命令。 3.1 临时解决方法： 如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁： * 暂时停止使用该软件 厂商补丁： arpanet ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.arpanet.com/PerlShop/download.html target=_blank>http://www.arpanet.com/PerlShop/download.html</a>

BugCVE: CAN-1999-1374 perlshop.cgi是一个用Perl编写的基于Web的在线购物程序。perlshop.cgi实现上存在输入验证漏洞，远程攻击者可能利用此漏洞在主机上以Web进程的权限执行任意命令。 有问题的代码在这里：<pre>open (MAIL, |$blat_loc - -t $to -s $subject ) || &err_trap( Can t open $blat_loc!\\n )</pre> $blat_loc定义的是NT下的一个命令行发信程序blat，$to是用户输入的邮件地址，程序中没有过滤“<>|&”等特殊字符，入侵者可以在邮件地址中插入系统命令。 3.1 临时解决方法： 如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁： * 暂时停止使用该软件 厂商补丁： arpanet ------- 目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载： <a href=http://www.arpanet.com/PerlShop/download.html target=_blank>http://www.arpanet.com/PerlShop/download.html</a>