VULHUB ™

Molly是小型简单的IRC BOT程序，可以用于股票信息查询，投票等操作。 Molly中多个脚本对用户提交的参数缺少正确检查，远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。 plugins/nslookup.pl脚本中在调用SHELL时对用户参数的输入缺少正确过滤，如果用户提交的\'\'$host\'\'变量包SHELL元字符加命令(如scan-associates.net;/bin/ls)，可导致命令以WEB权限执行。 另外unusedplugins/pop.pl和unusedplugins/sms.pl脚本也存在同样的错误，可以用来执行任意命令。

Molly是小型简单的IRC BOT程序，可以用于股票信息查询，投票等操作。 Molly中多个脚本对用户提交的参数缺少正确检查，远程攻击者可以利用这个漏洞以WEB进程权限在系统上执行任意命令。 plugins/nslookup.pl脚本中在调用SHELL时对用户参数的输入缺少正确过滤，如果用户提交的\'\'$host\'\'变量包SHELL元字符加命令(如scan-associates.net;/bin/ls)，可导致命令以WEB权限执行。 另外unusedplugins/pop.pl和unusedplugins/sms.pl脚本也存在同样的错误，可以用来执行任意命令。