发布日期：2000-12-21
更新日期：2001-02-25

受影响系统：

    Mailnews Mailnews.cgi 1.3

描述：

---

BUGTRAQ ID: 2391

Mailnews.cgi未能正确检查远程用户输入的内容，使得一些shell元字符得以通过。
远程攻击者向mailnews的用户文件中增加一个新用户，而用户名部分包含恶意的
shell命令，当显示这些数据的时候，嵌入的命令将以webserver进程所拥有的权限执
行。

<* 来源：Kanedaaa Bohater (kaneda@ac.pl) *>



建议：

---

    暂无



浏览次数：3591
严重程度：0（网友投票）