TWiki shell命令执行漏洞

admin

0
文章

0
评论

2023-12-08 00:23:34 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

高危 TWiki shell命令执行漏洞

CVE编号

CVE-2012-6329

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2013-01-05

漏洞描述

TWiki是一款WIKI百科程序。TWiki存在安全漏洞。MAKETEXT{} TWiki变量用于本地化用户接口内容，使用特制的MAKETEXT，恶意用户可通过Perl反引号操作符(``) 执行shell命令。问题存在于Locale::Maketext CPAN模块中。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://archives.neohapsis.com/archives/fulldisclosure/current/0157.html

参考链接
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=695224
http://code.activestate.com/lists/perl5-porters/187746/
http://code.activestate.com/lists/perl5-porters/187763/
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10735
http://openwall.com/lists/oss-security/2012/12/11/4
http://perl5.git.perl.org/perl.git/blob/HEAD:/pod/perl5177delta.pod
http://perl5.git.perl.org/perl.git/commit/1735f6f53ca19f99c6e9e39496c486af323ba6a8
http://rhn.redhat.com/errata/RHSA-2013-0685.html
http://sourceforge.net/mailarchive/message.php?msg_id=30219695
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2012-6329
http://www.mandriva.com/security/advisories?name=MDVSA-2013:113
http://www.oracle.com/technetwork/topics/security/ovmbulletinjul2016-3090546.html
http://www.securityfocus.com/bid/56950
http://www.ubuntu.com/usn/USN-2099-1
https://bugzilla.redhat.com/show_bug.cgi?id=884354
https://wiki.mageia.org/en/Support/Advisories/MGASA-2013-0032

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	perl	perl	*		Up to (including) 5.16.2
	运行在以下环境
	应用	perl	perl	5.10	-
	运行在以下环境
	应用	perl	perl	5.10.0	-
	运行在以下环境
	应用	perl	perl	5.10.1	-
	运行在以下环境
	应用	perl	perl	5.11.0	-
	运行在以下环境
	应用	perl	perl	5.11.1	-
	运行在以下环境
	应用	perl	perl	5.11.2	-
	运行在以下环境
	应用	perl	perl	5.11.3	-
	运行在以下环境
	应用	perl	perl	5.11.4	-
	运行在以下环境
	应用	perl	perl	5.11.5	-
	运行在以下环境
	应用	perl	perl	5.12.0	-
	运行在以下环境
	应用	perl	perl	5.12.1	-
	运行在以下环境
	应用	perl	perl	5.12.2	-
	运行在以下环境
	应用	perl	perl	5.12.3	-
	运行在以下环境
	应用	perl	perl	5.13.0	-
	运行在以下环境
	应用	perl	perl	5.13.1	-
	运行在以下环境
	应用	perl	perl	5.13.10	-
	运行在以下环境
	应用	perl	perl	5.13.11	-
	运行在以下环境
	应用	perl	perl	5.13.2	-
	运行在以下环境
	应用	perl	perl	5.13.3	-
	运行在以下环境
	应用	perl	perl	5.13.4	-
	运行在以下环境
	应用	perl	perl	5.13.5	-
	运行在以下环境
	应用	perl	perl	5.13.6	-
	运行在以下环境
	应用	perl	perl	5.13.7	-
	运行在以下环境
	应用	perl	perl	5.13.8	-
	运行在以下环境
	应用	perl	perl	5.13.9	-
	运行在以下环境
	应用	perl	perl	5.14.0	-
	运行在以下环境
	应用	perl	perl	5.14.1	-
	运行在以下环境
	应用	perl	perl	5.14.2	-
	运行在以下环境
	应用	perl	perl	5.14.3	-
	运行在以下环境
	应用	perl	perl	5.16.0	-
	运行在以下环境
应用	perl	perl	5.16.1	-
运行在以下环境
系统	amazon_AMI	perl	*		Up to (excluding) 1.15-130.17.amzn1
运行在以下环境
系统	centos_5	perl	*		Up to (excluding) 5.8.8-40.el5_9
运行在以下环境
系统	centos_6	perl-Compress-Raw-Zlib	*		Up to (excluding) 1.9721-130.el6_4
运行在以下环境
系统	debian_10	perl	*		Up to (excluding) 5.14.2-16
运行在以下环境
系统	debian_11	perl	*		Up to (excluding) 5.14.2-16
运行在以下环境
系统	debian_12	perl	*		Up to (excluding) 5.14.2-16
运行在以下环境
系统	debian_6	perl	*		Up to (excluding) 5.10.1-17squeeze5
运行在以下环境
系统	debian_sid	perl	*		Up to (excluding) 5.14.2-16
运行在以下环境
系统	opensuse_11.4	perl-debuginfo	*		Up to (excluding) 5.12.3-11.36.1
运行在以下环境
系统	opensuse_12.1	perl-debuginfo	*		Up to (excluding) 5.14.2-9.1
运行在以下环境
系统	opensuse_12.2	perl-debuginfo	*		Up to (excluding) 5.16.0-3.5.1
运行在以下环境
系统	opensuse_12.3	perl-debuginfo	*		Up to (excluding) 5.16.2-2.5.1
运行在以下环境
系统	oracle_5	perl-Module-Loaded	*		Up to (excluding) 5.8.8-40.el5_9
运行在以下环境
系统	oracle_6	oraclelinux-release	*		Up to (excluding) 0.20-130.el6_4
运行在以下环境
系统	redhat_6	perl	*		Up to (excluding) 4:5.8.8-40.el5_9
运行在以下环境
系统	suse_11	perl	*		Up to (excluding) 5.10.0-64.67
运行在以下环境
系统	ubuntu_12.04.5_lts	perl	*		Up to (excluding) 5.14.2-6ubuntu2.4