发布日期：2001-10-30
更新日期：2001-11-02

受影响系统：

Seth Leonard Post-It! 1.0

描述：

---

BUGTRAQ ID: 3485

Post-It! 是一个用于向HTML文件添加注释的CGI程序。它存在一个安全问题，
允许攻击者以Web Server权限运行任意命令。

这是由于该CGI脚本没有对用户输入的参数进行任何过滤，然后直接交给shell命令处理
造成的。

<*来源：David Kumme （supdavid@bluewin.ch） *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 将该CGI程序删除或暂时去掉执行权限

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://dreamcatchersweb.com/scripts/


浏览次数：3293
严重程度：0（网友投票）