发布日期：2001-09-16
更新日期：2001-09-21

受影响系统：

Michael Boehme WebDiscount E-Shop Online-Shop System 1.0

描述：

---

BUGTRAQ  ID: 3340
CVE(CAN) ID: CAN-2001-1014

Webdiscount E-Shop是一个商业的在线购物系统，是由Michael Boehme开发和维护的。

发现该程序存在安全问题，由于没有充分过滤用户输入的“；”和“|”等特殊字符，
导致远程攻击者可能在该服务器上以Web Server权限执行任意命令。

<*来源：Kernel|X| （secure@punkass.com）
  参考：http://archives.neohapsis.com/archives/bugtraq/2001-09/0136.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Kernel|X| （secure@punkass.com）提供了如下测试代码：

http://host/cgi-bin/eshop.pl?seite=;ls|


建议：

---

厂商补丁：

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商
的主页以获取最新版本：
http://www.webdiscount.net/



浏览次数：4058
严重程度：0（网友投票）