VULHUB ™

Omail是一款由perl编写的结合qmail的WEB邮件系统。 Omail的checklogin()函数对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞以WEB权限在系统上执行任意指令。 问题存在于函数checklogin()中： ......... omail.pl， line 689: my $command = 'echo -e "'. $domainname .'\000'. $username .'\000'.$password .'\000" | ' .$vauthenticate; my $output = `$command`; ......... 在调用此行之前，没有变量$domainname，$username，和$password进行充分的过滤，攻击者提交包含元字符的数据，可能以WEB权限在系统上执行任意命令。

Omail是一款由perl编写的结合qmail的WEB邮件系统。 Omail的checklogin()函数对用户提交的参数缺少充分过滤，远程攻击者可以利用这个漏洞以WEB权限在系统上执行任意指令。 问题存在于函数checklogin()中： ......... omail.pl， line 689: my $command = 'echo -e "'. $domainname .'\000'. $username .'\000'.$password .'\000" | ' .$vauthenticate; my $output = `$command`; ......... 在调用此行之前，没有变量$domainname，$username，和$password进行充分的过滤，攻击者提交包含元字符的数据，可能以WEB权限在系统上执行任意命令。