漏洞起因
输入验证错误
危险等级
中
影响系统
Perl cgi.pm < 3.6
不受影响系统
危害
远程攻击者可以利用漏洞更改Cookie信息。
攻击所需条件
攻击者必须访问Perl cgi.pm应用。
漏洞信息
CGI.pm是用途广泛的Perl模块,为编程公共网关接口(CGI)应用,提供一致API为接受用户输入和生产HTML或XHTML产品。
Perl cgi.pm不正确过滤Set-Cookies和P3P头的值,如果基于CGI应用的Perl CGI.pm模块重用Cookies值,并接收WEB浏览器的不可信输入,远程攻击者可以利用此缺陷更改cookie数据或添加新项。
测试方法
厂商解决方案
Perl cgi.pm 3.6已经修复此漏洞,建议用户下载使用:
http://cpansearch.perl.org/src/MARKSTOS/CGI.pm-3.63/Changes
漏洞提供者
anazawa
评论关闭。