Happymall E-Commerce Remote Command Execution
|
Date de Publication: 2003-05-08
Titre: Happymall E-Commerce Remote Command Execution
K-Otik ID : 0068
Exploitable à distance : Oui
Exploitable en local : Oui
* Description Technique - Exploit *
Happymall e-commerce souffre de plusieurs vulnérabilités liées à deux scripts (normal_html.cgi - member_html.cgi), permettant l'exécution de code arbitraire avec les privilèges du serveur web.
/shop/normal_html.cgi?file=|id|
/shop/normal_html.cgi? file=;id|
* Versions Vulnérables *
Happymall versions 4.3, 4.4
* Solution *
Appliquer le patch : http://happymall.happycgi.com
* Crédits *
Faille découverte par Revin Aldi (Mai 2003).
|