发布日期：2001-12-12
更新日期：2001-12-17

受影响系统：

WebGlimpse.org WebGlimpse
WebGlimpse.org WebGlimpse 1.0
    - Unix系统  
WebGlimpse.org WebGlimpse 1.5
    - Unix系统  
WebGlimpse.org WebGlimpse 1.7.12
    - Unix系统  
WebGlimpse.org WebGlimpse 2.0
    - Unix系统  
WebGlimpse.org WebGlimpse 2.2.0
    - Unix系统

不受影响系统：

WebGlimpse.org WebGlimpse 2.2.1
    - Unix系统  
WebGlimpse.org WebGlimpse 2.2.2
    - Unix系统

描述：

---

BUGTRAQ  ID: 3678

WebGlimpse是一款基于Web的搜索和索引软件包，由公众维护，并由University of Arizona管理。

该软件存在一个输入验证漏洞，可能允许远程攻击者在主机上以httpd进程权限执行任意命令。

这是由于没有过滤用户提交的特殊字符“`”导致的，而在*NIX操作系统中，两个“`”之间的字符串将被作为系统命令执行。

<*来源：SourceForge news let
  
  链接：http://www.webglimpse.net/
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时停止使用该软件

厂商补丁：

WebGlimpse.org
--------------
厂商已经发布了升级版本2.2.2以修复此安全问题，请立刻到厂商的主页下载最新版本：

http://www.webglimpse.net/download.html

浏览次数：3144
严重程度：0（网友投票）