Описание:
Уязвимость обнаружена в скрипте connectedNodes.ovpl. Скрипт получает ввод от пользователя, и конкатенирует его с существующей строкой, затем web-сервер выполняет получившуюся строку, без проверки поученных данных от пользователя. Это делает возможным, внедрение атакующим своих собственных команд, и выполнение их. Атакующий может выполнять системные команды, используя для этого pipe (|), только без возвращения результата команды. Команда выолпняется с привилегиями web-сервера.
Пример:
http://[host]:3443/OvCgi/connectedNodes.ovpl?node=a|whoami|
