发布日期：2000-07-12
更新日期：2000-07-12

受影响系统：

Akopia MiniVend 4.0.4
Akopia MiniVend 4.0
Akopia MiniVend 3.0

不受影响系统：

描述：

---

MiniVend 是一个流行的电子商务购物系统。它的4.0.4以及以前的版本存在一个安全问题。
远程用户可以以web server的身份执行任意命令。VIEW_PAGE.HTML文件没有正确检查用户
输入中是否包含管道符，然后就调用UTIL.PM中的函数执行，UTIL.PM又以一种不安全的方式
使用了OPEN函数，没有正确检查要打开的文件是否存在，导致恶意用户可以执行任意命令。


<* 来源：Alexander Lazic  *>







测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

建议：

---

MiniVend 已经发布了相应的补丁程序，可以从他们的站点上下载新的版本：
  
http://www.minivend.com


浏览次数：5707
严重程度：0（网友投票）