BUGTRAQ ID: 30027
CNCAN ID:CNCAN-2008070202
漏洞消息时间:2008-07-01
漏洞起因
输入验证错误
影响系统
Wordtrans Wordtrans-web 1.1pre15
+ RedHat Linux 7.3
不受影响系统
危害
远程攻击者可以利用漏洞以WEB进程权限执行任意命令。
攻击所需条件
攻击者必须访问wordtrans-web。
漏洞信息
wordtrans-web是一款基于Web的多语言字典查询工具。
wordtrans-web存在输入验证问题,远程攻击者可以利用漏洞以WEB进程权限执行任意命令。
-发送变量"command"设置为'show_desc'的GET请求,"link_options"从用户数据中接收参数,通过使用GET方法的"advanced"变量传递。然后"link_options"变量与"exec_wordtrans"变量进行链接,由于"exec_wordtrans"传递给"passthru"函数时没有任何特殊字符检查,攻击者可以发送类似|或; shell字符以WEB进程权限执行任意指令。如下是有问题的代码:
...
$exec_wordtrans = $wordtrans . "-d \"$dict\" ";
switch ($_GET['command']) {
case "show_desc":
$exec_wordtrans .= "--desc ";
$link_options = "--html-link-options \"?lang=$lang_case&advanced=".$_GET['advanced']."&\" ";
$exec_wordtrans .= $link_options;
passthru($exec_wordtrans);
break;
...
要利用此漏洞,"Magic Quotes"选项必须不设置。
-发送不使用"command"变量或者未定义命令并且"word"变量中没有任何数据的请求,"link_options"从用户数据中接收参数,通过使用POST方法的"advanced"变量传递。然后"link_options"变量与"exec_wordtrans"变量进行链接,由于"exec_wordtrans"传递给"passthru"函数时没有任何特殊字符检查,攻击者可以发送类似|或; shell字符以WEB进程权限执行任意指令。如下是有问题的代码:
...
$exec_wordtrans = $wordtrans . "-d \"$dict\" ";
switch ($_GET['command']) {
...
default:
if ($_POST['word'] != "") {
if ($_POST['fullwords']) $exec_wordtrans .= " +w "; else $exec_wordtrans .= " -w ";
if ($_POST['casesensitive']) $exec_wordtrans .= " +c "; else $exec_wordtrans .= " -c ";
if ($_POST['invertir']) $exec_wordtrans .= " +i "; else $exec_wordtrans .= " -i ";
if ($_POST['noacentos']) $exec_wordtrans .= " +g "; else $exec_wordtrans .= " -g ";
$link_options = "--html-link-options \"?lang=$lang_case&advanced=".$_POST['advanced']."&\" ";
$exec_wordtrans .= $link_options;
$exec_wordtrans .= "\"".$_POST['word']."\"";
passthru($exec_wordtrans);
...
要利用此漏洞,"Magic Quotes"选项必须不设置。
测试方法
厂商解决方案
目前没有解决方案提供:
漏洞提供者
Filipe Balestra and Rodrigo Rubira Branco
漏洞消息链接
http://www.scanit.net/rd/advisories/adv02
http://www.scanit.net/rd/advisories/adv02_2
漏洞消息标题
Wordtrans-web Remote Command Execution Vulnerability
Wordtrans-web Remote Command Execution Vulnerability (2)
