首页 -> 安全研究

安全研究

安全漏洞
Pine Environment Variable Expansion in URLS漏洞

发布日期:1999-11-18
更新日期:1999-11-19

受影响系统:
University of Washington Pine 4.21
University of Washington Pine 4.20
描述:
当pine处理HTML格式或包含HTML格式的邮件时,在本地运行客户端服务的机器上,定义了包含shell变量的urls会被打开。通过向webservers发送带有cgi参数的扩展变量,会造成许多安全问题,通过发送恶意邮件可以在目标主机上执行任意代码。

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

echo ''setenv WWW www.securityfocus.com'' >> .tcshrc
source .tcshrc
pine

(查看了一个通过邮件发送的连接 http://$WWW )



建议:
暂无

浏览次数:6879
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障