ZapBook服务器端包含可远程执行任意命令漏洞

ZapBook服务器端包含可远程执行任意命令漏洞 影响版本:
Zap Book 1.0.3漏洞描述:
BUGTRAQ: 5130  

Zap Book对用户提交到留言本条目的输入缺少过滤，远程安全者可以利用这个漏洞在目标系统上以Zap Book进程权限执行任意命令。

 Zap Book对用户提交给留言本条目 Entry 字段的数据缺少正确检查，远程安全者可以通过服务器端包含来提交SHELL命令，导致安全者以Zap Book进程权限在系统上执行任意命令。<*参考 
DownBload （downbload@hotmail.com）
http://archives.neohapsis.com/archives/bugtraq/2002-06/0388.html
*>
SEBUG安全建议:
临时解决方法：
如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：
* 在addentry.cgi脚本中增加如下代码进行相关字符过滤：
$in{’post’} =~ s/</</g;
$in{’post’} =~ s/>/>/g;

厂商补丁：
Zap Book
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.unitedff.com/