TWiki SEARCH变量SHELL命令注入漏洞 CVE-2008-5305 CNNVD-200812-175
10.0
AV
AC
AU
C
I
A
发布:
2008-12-10
修订:
2009-03-03
TWiki是一款灵活易用、功能强大的企业协作平台和知识管理系统。 由于没有正确地过滤对perl eval命令所传送的输入,远程攻击者可以通过向TWiki提交恶意的\\%SEARCH{}\\%变量或GET URL导致向Perl反引号(``)运算中注入并执行SHELL命令。如果没有对TWiki执行访问限制的话,攻击者无需认证便可以使用SEARCH变量。
漏洞利用/PoC
当前有2条漏洞利用/PoC
受影响的平台与产品
当前有13条受影响产品信息
