漏洞信息详情

Yoggie Pico/Pico Pro反引号远程命令执行漏洞

  • CNNVD编号:CNNVD-200707-079
  • 危害等级: 超危
  • CVE编号: CVE-2007-3572
  • 漏洞类型: 输入验证
  • 发布时间: 2007-07-05
  • 威胁类型: 远程
  • 更新时间: 2007-07-09
  • 厂        商: yoggie
  • 漏洞来源: Cody Brocious※ cod...

漏洞简介

Yoggie Pico是一款小巧的USB设备,可实现防火墙和反病毒功能。

Yoggie Pico在处理用户提交的请求数据时存在漏洞,远程攻击者可能利用此漏洞在设备上执行任意命令。

Yoggie Pico安全设备的Web接口开放了ping功能以便于诊断。这个接口以ping -c 10 <given ip>的形式将输入的IP/主机名直接传送给了ping命令,并对\"&\"、\";\"和管道执行了基本安全检查,但没有检查反引号(\"`\"),这允许攻击者通过提交特制的URL请求在设备上以root用户权限执行任意命令。

漏洞公告

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: http://www.yoggie.com/node/41

参考网址

来源: VUPEN 名称: ADV-2007-2417 链接:http://www.frsirt.com/english/advisories/2007/2417 来源: XF 名称: yoggie-rundiagnostics-command-execution(35208) 链接:http://xforce.iss.net/xforce/xfdb/35208 来源: BID 名称: 24743 链接:http://www.securityfocus.com/bid/24743 来源: SECUNIA 名称: 25902 链接:http://secunia.com/advisories/25902 来源: FULLDISC 名称: 20070702 Yoggie Pico Pro Remote Code Execution 链接:http://archives.neohapsis.com/archives/fulldisclosure/2007-07/0020.html

受影响实体

补丁

    暂无

漏洞信息快速查询

相关漏洞

更多