背景

Ahold Delhaize自称是全球最大的食品零售集团之一，每周服务6000万客户，拥有150年历史，员工超过41.4万人。该公司曾因支持网络安全透明度而获奖，鼓励人们分享安全见解。

讨论

这个CVSS 10分的严重漏洞在报告后超过3.5年仍未修复，研究人员怀疑该漏洞可能自2005年就存在。受影响的服务器作为中央身份提供商，用于员工登录和密码重置。

通过Waybackurls工具发现历史端点，筛选出包含cgi-bin的URL，发现Perl编写的页面，最后修改日期显示为2005年12月15日。

使用Burp Suite进行测试时，发现version参数存在反射型XSS。进一步测试发现该漏洞实际上是一个Perl代码注入漏洞，可导致远程代码执行。

研究人员成功构造有效载荷，通过Perl的LWP::UserAgent模块将/etc/passwd文件外传到攻击者控制的服务器。利用ChatGPT辅助生成有效载荷，还演示了获取当前Linux用户和列出/etc目录内容的能力。

该漏洞允许攻击者在服务器上执行任意代码，所有使用该服务器的用户数据都应视为已泄露。由于缺乏完整的日志记录，无法确定该漏洞是否曾被恶意利用。