CVSTrac 票证标题任意命令执行

high Nessus 插件 ID 14290

语言：

简介

远程 Web 服务器正在托管一个受到任意命令执行漏洞影响的 CGI 应用程序。

描述

远程主机似乎正在运行 cvstrac，这是一个针对 CVS 的基于 Web 的错误和补丁集跟踪系统。

此版本包含一个与包含分号（“;”）的票证标题相关的缺陷，该缺陷可能允许攻击者在系统上执行任意命令。

***** Nessus 只通过查看目标上
***** 安装的 CVSTrac 的版本号，
***** 便确定目标上存在此漏洞。

解决方案

更新至版本 1.1.4 或更高版本，有报告称此版本可修复该问题。

另见

http://www.cvstrac.org/cvstrac/tktview?tn=118

http://www.cvstrac.org/cvstrac/chngview?cn=198

插件详情

严重性: High

ID: 14290

文件名: cvstrac_ticket_title.nasl

版本: 1.13

类型: remote

系列: CGI abuses

发布时间: 2004/8/17

最近更新时间: 2021/1/19

支持的传感器: Nessus

漏洞信息

漏洞发布日期: 2002/8/30