发布日期：2000-11-22
更新日期：2000-11-22

受影响系统：

Adcycle.com Adcycle 0.77b

描述：

---

Adcycle是Adcycle.com出的一个广告条管理工具。它使用一个到MySQL数据库的连接来管理和显示可点击的广告条。

在安装时，Adcycle赋予远程用户存取其数据库配置脚本“build.cgi”的权限。该脚本是用来帮助配置到Adcycle的MySQL数据库的连接的。

作为这个功能的一部分，build.cgi输出可用的管理员和数据库密码。

通常，该脚本在安装完成之前会被禁止。但是，它仍可被主机的httpd进程执行。通过执行这个脚本，远程用户可以得到管理密码，获得对Adcycle的配置的存取权限，从而增加、修改或删除广告项。用户也可能利用MySQL数据库密码进一步危害该软件包或者整个系统。

<* 来源：Mark Lastdrager (mark@pine.nl)
         "The Pike"(thepike@hotmail.com) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

暂无。



建议：

---

NSFOCUS建议您取消该脚本的执行权限：
    chmod 0 build.cgi
或者在安装完成之后删除该脚本。

厂商补丁：

暂无。

浏览次数：5593
严重程度：0（网友投票）