VULHUB ™

DCForum是一种基于WEB的会议系统，设计用于在线讨论。它是用Perl实现的，几乎没有系统相关性，可以运行于Linux、Windows以及绝大多数Unix变体上。 一些版本的DCForum存在漏洞，远程攻击者可以利用这个漏洞获得DCForum的管理权限甚至执行任意命令。 DCForum维护着一个文件包含用户账号信息，包含用户口令的哈希值和其它敏感信息。当建立一个新账号的适合，用户信息会被写入这个文件，一个用户信息一行，每一项记录用管道符(\'\'|\'\')隔开。DCForum对用户输入的信息检查不严，攻击者可以在用户信息最后一项的最后输入URL编码的管道符和换行符就可以在后面再任意添加用户到用户信息文件，攻击者可以指定管理权限。 DCForum有管理权限的账号可能以Web服务器的权限执行任意命令。

DCForum是一种基于WEB的会议系统，设计用于在线讨论。它是用Perl实现的，几乎没有系统相关性，可以运行于Linux、Windows以及绝大多数Unix变体上。 一些版本的DCForum存在漏洞，远程攻击者可以利用这个漏洞获得DCForum的管理权限甚至执行任意命令。 DCForum维护着一个文件包含用户账号信息，包含用户口令的哈希值和其它敏感信息。当建立一个新账号的适合，用户信息会被写入这个文件，一个用户信息一行，每一项记录用管道符(\'\'|\'\')隔开。DCForum对用户输入的信息检查不严，攻击者可以在用户信息最后一项的最后输入URL编码的管道符和换行符就可以在后面再任意添加用户到用户信息文件，攻击者可以指定管理权限。 DCForum有管理权限的账号可能以Web服务器的权限执行任意命令。