Раскрытие информации в Forum Web Server

Описание:
Обнаружено несколько уязвимостей в Forum Web Server. Удаленный атакующий может получить доступ к важным данным на системе.

Удаленный атакующий может с помощью специально сформированного HTTP запроса, содержащего символы перехода между каталогами ('../' или '..\'), получить доступ на чтение произвольных файлов на системе за пределами корневого каталога web сервера. Пример:

http://[target]/..\..\..\file.ext
htt p://[target]/../../../file.ext
http://[target]/%2E%2E%5C%2E%2E%5C%2E%2E%5Cfile.ext
http://[target]/%2E%2E%2F%2E%2E%2F%2E%2E%2Ffile.ext

Сервер хранит пароли и имена пользователей в файле 'username.ini' в обычном виде. Удаленный атакующий с помощью предыдущей уязвимости может получить доступ к файлу паролей.

URL производителя: www.minihttpserver.net/bbs/

Решение: Решение не существует на данный момент.