Security Lab

Доступ к произвольным файлам в My Postcards

Дата публикации:19.06.2002
Всего просмотров:734
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: My Postcards (http://mypostcards.com/platinum/)– коммерческая электронная postcard система для UNIX и LINUX систем.

Сценарий magiccard.cgi недостаточно обрабатывает некоторые параметры. В результате удаленный атакующий может определить местоположение любого файла на уязвимой системе и если достаточно прав, раскрыть его содержание. Пример:

http://www.example.com/cgi-bin/magiccard.cgi?pa=3Dpreview&next=3Dcustom&page=3D../../../../../../../../../../etc/passwd

уязвимость обнаружена в My Postcards Platinum 5.0-6.0

Ссылки: My Postcards 5,6 vulnerability // magiccard.cgi