漏洞标题
N/A
漏洞描述信息
BizDBCGI脚本bizdb-search.cgi 允许远程攻击者通过元字符在dbname参数中执行任意命令。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The BizDB CGI script bizdb-search.cgi allows remote attackers to execute arbitrary commands via shell metacharacters in the dbname parameter.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
BizDB bizdb-search.cgi搜索引擎CGI导致用户远程执行shell命令
漏洞描述信息
BizDB是Cnctek开发的数据库以及搜索引擎软件。 BizDB安装程序中包含一个CGI脚本:bizdb-search.cgi,它被用来搜索bizdb数据库。攻击者可以通过修改CGI参数使bizdb-search.cgi在Web服务器上执行shell命令。 bizdb-search.cgi使用"open"命令来打开数据库文件,该文件名是由"dbname"变量接收 用户输入的。它并没有对输入数据进行检查。攻击者可以用带有管道符的shell命令替换掉 正常的数据库文件名:"bizdb",例如: ";cat%
CVSS信息
N/A
漏洞类别
授权问题