Просмотр произвольных файлов на системе в ImageFolio

Дата публикации:
10.06.2003
Всего просмотров:
1507
Опасность:
Низкая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
ImageFolio 3.x
Описание: Уязвимость в проверке правильности ввода обнаружена в ImageFolio в сценарии 'admin.cgi'. Удаленный авторизованный администратор может просматривать и удалять файлы на системе, расположенные вне image директории.

Удаленный авторизованный администратор может представить URL, содержащий символы обхода каталога '../', чтобы просматривать и удалять файлы, расположенные вне image директории с привилегиями Web сервера. Пример:

 
http://[target]/cgi-bin/imagefolio/admin/admin.cgi?cgi=remove.
pl&uid =111.111.111.111&rmstep=2&category=../../../../../../../../../../.
./etc/
Также сообщается, что на большинстве инсталляций ImageFolio, администратор не изменяет пароль по умолчанию ('Admin', 'ImageFolio').

Уязвимость обнаружена в ImageFolio 3.1 Производитель выпустил заплату, которую можно скачать отсюда:

http://www.imagefolio.com/ubb/Forum25/HTML/000019.html

Ссылки: ImageFolio All Versions : admin.cgi Directory transversal and file delete exploit.

или введите имя

CAPTCHA