发布日期：2003-02-11
更新日期：2003-02-18

受影响系统：

Benjamin Low CGI-Lite 2.0

描述：

---

BUGTRAQ  ID: 6833

CGI::Lite Perl模块可以用来处理'multipart form'形式的资料(即上传)。

CGI::Lite Perl模块中的escape_dangerous_chars()函数不正确过滤用户提交的恶意字符，远程攻击者可以利用这个漏洞以CGI程序权限在系统上执行任意命令。

CGI::Lite::escape_dangerous_chars()函数没有正确过滤所有危险的字符，如'\ ? ~ ^ \n \r'，结果可导致外部提供的输入由于没有进行充分过滤，直接用于其他Perl函数，可以导致以CGI权限在系统上执行任意命令。

<*来源：Ronald F. Guilmette （rfg@monkeys.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104498967222402&w=2
*>

建议：

---

厂商补丁：

Benjamin Low
------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://search.cpan.org/author/BENL/CGI-Lite-2.0/Lite.pm

浏览次数：2941
严重程度：0（网友投票）