Összefoglaló
A GForge-ban egy sérülékenységet jelentettek, amit rosszindulatú támadók kihasználhatnak tetszőleges shell parancsok futtatására vagy befecskendezésére.
Leírás
A GForge-ban egy sérülékenységet jelentettek, amit rosszindulatú támadók kihasználhatnak tetszőleges shell parancsok futtatására vagy befecskendezésére.
A sérülékenységet a bemenetek hiányos ellenőrzése okozza a plugins/scmcvs/www/cvsweb.php fájlban a CVSWeb CGI meghívásakor. Ez kihasználható tetszőleges shell parancsok beszúrására és futtatására URL-en keresztűl.
A sérülékenységet a 4.5.16. verzióban jelentették, de más verziók is érintettek lehetnek.
Megoldás
A hiba ki van javítva a fejlesztői verzióban. SECUNIA 25395
Támadás típusa
Input manipulation (Bemenet módosítás)
Hatás
Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)
Hivatkozások
CVE-2007-0246 - NVD CVE-2007-0246
Gyártói referencia: gforge.org
Egyéb referencia: www.us.debian.org
