漏洞标题
N/A
漏洞描述信息
在Prodder 0.5之前,以及在perlpodder 0.5之前,允许远程攻击者通过 podcast URL中的shell元字符( enclosure tag 的 URL 属性或 $enc_url 变量)执行任意代码,该代码在运行 wget 时会被执行。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Prodder before 0.5, and perlpodder before 0.5, allows remote attackers to execute arbitrary code via shell metacharacters in the URL of a podcast (url attribute of an enclosure tag, or $enc_url variable), which is executed when running wget.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Prodder/perlpodder 播客URL 输入验证漏洞
漏洞描述信息
Prodder是用Perl编写的基于命令行的Podcast客户端。 Prodder的实现上存在输入验证漏洞,远程攻击者可能利用此漏洞在客户端机器上执行任意命令。 在使用prodder获取媒体文件索引时,prodder会从服务器所提供的XML文件获取媒体文件的URL,然后使用wget获取文件。源码类似于: [...] 446 # Actually get the file 447 my $wget_cmd = "wget -qc -a '$conf{'errorfile'}' " 448 . "--trie
CVSS信息
N/A
漏洞类别
代码注入