Просмотр произвольных файлов в ColdFusion CFXImage

Дата публикации:
31.05.2002
Всего просмотров:
627
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: CFXImage - тэг ColdFusion для редактирования и создания изображений. Уязвимость защиты в программе позволяет злоумышленнику рассматривать содержание файлов вне HTML корня.

Программа showtemp.cfm, поставляемая по умолчанию, не фильтрует ее входные переменные, позволяя обходить разрешенные директории и читать файлы вне www корня. Пример:

http://www.server.com/docs/showtemp.cfm?TYPE=JPEG&FILE=c:\boot.ini

или http://www.server.com/docs/showtemp.cfm?TYPE=JPEG&FILE=../../../../../../../../../..boot.ini%00

Уязвимость обнаружена в CFXImage versions 1.6.6

Ссылки: Gafware's CFXImage Showtemp Program File Reading Vulnerability

или введите имя

CAPTCHA