Perl CGI.pm ‘Set-Cookie’和’P3P’头HTTP头注入漏洞

漏洞起因
输入验证错误
危险等级

影响系统
Perl cgi.pm < 3.6 不受影响系统 危害 远程攻击者可以利用漏洞更改Cookie信息。 攻击所需条件 攻击者必须访问Perl cgi.pm应用。 漏洞信息 CGI.pm是用途广泛的Perl模块,为编程公共网关接口(CGI)应用,提供一致API为接受用户输入和生产HTML或XHTML产品。 Perl cgi.pm不正确过滤Set-Cookies和P3P头的值,如果基于CGI应用的Perl CGI.pm模块重用Cookies值,并接收WEB浏览器的不可信输入,远程攻击者可以利用此缺陷更改cookie数据或添加新项。 测试方法 厂商解决方案 Perl cgi.pm 3.6已经修复此漏洞,建议用户下载使用: http://cpansearch.perl.org/src/MARKSTOS/CGI.pm-3.63/Changes 漏洞提供者 anazawa