漏洞信息详情

Enemies of Carlotta Shell参数命令执行漏洞

• CNNVD编号：CNNVD-200612-302
• 危害等级： 高危
  
• CVE编号： CVE-2006-5875
• 漏洞类型： 输入验证
• 发布时间： 2006-11-30
• 威胁类型： 远程
• 更新时间： 2006-12-14
• 厂        商： enemies_of_carlotta
• 漏洞来源： Antti-Juhani Kaija...

漏洞简介

Enemies of Carlotta是一款简单的邮件列表管理器。

Enemies of Carlotta在处理用户参数时存在漏洞，攻击者可能利用此漏洞在用户机器上执行任意命令。

在被用作其他应用程序的shell参数之前，Enemies of Carlotta没有正确地过滤SMTP级的邮件地址，远程攻击者在邮件地址中嵌入shell元字符导致执行任意命令。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://liw.iki.fi/liw/eoc/enemies-of-carlotta-1.2.4.tar.gz

参考网址

来源: DEBIAN

名称: DSA-1236

链接:http://www.debian.org/security/2006/dsa-1236

来源: MLIST

名称: [eoc] 20061213 EoC 1.2.4 -- security problem fixed, please upgrade immediately

链接:http://liw.iki.fi/lists/[email protected]/msg00366.HTML

来源: XF

名称: eoc-email-shell-command-execution(30923)

链接:http://xforce.iss.net/xforce/xfdb/30923

来源: BID

名称: 21572

链接:http://www.securityfocus.com/bid/21572

来源: OSVDB

名称: 30849

链接:http://www.osvdb.org/30849

来源: VUPEN

名称: ADV-2006-5000

链接:http://www.frsirt.com/english/advisories/2006/5000

来源: SECUNIA

名称: 23382

链接:http://secunia.com/advisories/23382

来源: SECUNIA

名称: 23377

链接:http://secunia.com/advisories/23377

受影响实体

• Enemies_of_carlotta Enemies_of_carlotta:1.0.3  
• Enemies_of_carlotta Enemies_of_carlotta:1.2.3  

补丁

暂无