https://www.exploit-db.com/exploits/379
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-243

CVSTrac是一个为CVS设计的补丁和错误跟踪系统。CVSTrac不正确处理用户提交的URI输入，远程攻击者可以利用这个漏洞以WEB权限在系统上执行任意命令。问题存在于’filediff’，由于对用户提交的包含SHELL元字符的数据缺少充分过滤，攻击者可以提交包含恶意命令的数据作为参数，可能以WEB进程权限执行。

filediff?f=CVSROOT/rcsinfo&v1=1.1&v2=1.2;last;

# milw0rm.com [2004-08-06]

来源:US-CERTVulnerabilityNote:VU#770816
名称:VU#770816
链接:http://www.kb.cert.org/vuls/id/770816
来源:www.cvstrac.org
链接:http://www.cvstrac.org/cvstrac/chngview?cn=316
来源:SECUNIA
名称:12090
链接:http://secunia.com/advisories/12090/
来源:XF
名称:cvstrac-command-execute(16929)
链接:http://xforce.iss.net/xforce/xfdb/16929
来源:BID
名称:10878
链接:http://www.securityfocus.com/bid/10878
来源:OSVDB
名称:8373
链接:http://www.osvdb.org/8373
来源:www.cvstrac.org
链接:http://www.cvstrac.org/cvstrac/tktview?tn=339
来源:BUGTRAQ
名称:20040805CVStracRemoteArbitraryCodeExecutionexploit
链接:http://marc.theaimsgroup.com/?l=bugtraq&m;=109173359428253&w;=2
来源：NSFOCUS
名称：6780
链接：http://www.nsfocus.net/vulndb/6780