Security Lab

Обход каталога в phpBB Attachment Mod

Дата публикации:17.12.2004
Дата изменения:20.10.2006
Всего просмотров:2681
Опасность:
Высокая
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: CVE-2004-1399
CVE-2004-1404
Вектор эксплуатации: Удаленная
Воздействие: Компрометация системы
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Attachment Mod 2.x (модуль к phpBB)
Уязвимые версии: phpBB Attachment Mod 2.3.10 и более ранние версии

Описание:
Обнаружена уязвимость в phpBB Attachment Mod. Удаленный атакующий может просмотреть произвольные файлы на системе.

Уязвимость существует в сценариях 'attach_mod/posting_attachments.php' и 'attach_mod/includes/functions_attach.php'. Удаленный атакующий может с помощью специально сформированного HTTP POST запроса и символов перехода между каталогами (../) просмотреть произвольный файл на системе.

URL производителя: www.opentools.de

Решение: Установите обновление
http://sourceforge.net/project/showfiles.php?group_id=66311

Ссылки: phpBB Attachment Mod Directory Traversal HTTP POST Injection