Просмотр произвольных файлов на системе в ImageFolio
| Дата публикации: | 10.06.2003 |
| Всего просмотров: | 1809 |
| Опасность: | Низкая |
| Наличие исправления: | Нет |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | Удаленная |
| Воздействие: | Раскрытие важных данных |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | ImageFolio 3.x |
| Описание: | Уязвимость в проверке правильности ввода обнаружена в
ImageFolio в сценарии 'admin.cgi'. Удаленный авторизованный администратор может просматривать и удалять файлы на системе, расположенные вне image директории.
Удаленный авторизованный администратор может представить URL, содержащий символы обхода каталога '../', чтобы просматривать и удалять файлы, расположенные вне image директории с привилегиями Web сервера. Пример: http://[target]/cgi-bin/imagefolio/admin/admin.cgi?cgi=remove. pl&uid =111.111.111.111&rmstep=2&category=../../../../../../../../../../. ./etc/Также сообщается, что на большинстве инсталляций ImageFolio, администратор не изменяет пароль по умолчанию ('Admin', 'ImageFolio'). Уязвимость обнаружена в ImageFolio 3.1 Производитель выпустил заплату, которую можно скачать отсюда: |
| Ссылки: | ImageFolio All Versions : admin.cgi Directory transversal and file delete exploit. |