发布日期：2002-03-26
更新日期：2002-04-01

受影响系统：

CGISCRIPT.NET csSearch 2.3

不受影响系统：

CGISCRIPT.NET csSearch 2.5

描述：

---

BUGTRAQ  ID: 4368
CVE(CAN) ID: CVE-2002-0495

csSearch是一款由perl实现的WEB站点搜索脚本，可以运行在Unix和Linux操作系统下，也可运行在Microsoft Windows操作系统平台下。

csSearch由于在对提交给csSearch.cgi脚本的参数没有充分过滤输入，可导致攻击者以httpd权限执行任意命令。

csSearch把配置数据作为perl代码存在"setup.cgi"文件上，由于访问验证错误，任意用户可以把配置数据提交给csSearch.cgi的变量中并写入到"setup.cgi"，因此导致perl代码以httpd进程的权限执行。

<*来源：Steve Gustin （stegus1@yahoo.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-03/0323.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 修改代码，严格过滤用户输入数据。

厂商补丁：

CGISCRIPT.NET
-------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

CGISCRIPT.NET csSearch 2.3:

CGISCRIPT.NET Upgrade csSearch 2.5
http://www.cgiscript.net/download/download.htm

浏览次数：3263
严重程度：0（网友投票）