发布日期：2002-07-10
更新日期：2002-07-19

受影响系统：

Pacific Software Carello 1.3

描述：

---

BUGTRAQ  ID: 5192
CVE(CAN) ID: CVE-2002-0683

Carello是一款基于WEB的电子购物解决方案。

Carello在检查使用何种程序处理POST的表单数据时存在漏洞，远程攻击者可以修改表单数据以WEB服务进程权限在系统上执行任意命令。

Carello使用隐藏的表单字段指定服务器上的程序来处理POST表单数据，攻击者可以修改HTML表单，指定任意服务器上的程序作为表单处理程序，当攻击者提交POST数据进行处理时，导致服务器上任意命令以WEB服务器进程权限执行。

<*来源：Matt Moore （matt@westpoint.ltd.uk）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-07/0091.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 使用访问控制，只允许可信用户访问。

厂商补丁：

Pacific Software
----------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.carelloweb.com/

浏览次数：2891
严重程度：0（网友投票）