Security Lab

Административный доступ и просмотр произвольных файлов в Forum Web Server

Дата публикации:17.09.2003
Всего просмотров:1042
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Обход ограничений безопасности
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Forum Web Server 1.x
Уязвимые версии: Forum Web Server 1.6 и более ранние версии

Описание: Несколько уязвимостей обнаружено в Forum Web Server. Злонамеренный пользователь может получить административный доступ к приложению и просмотреть произвольные файлы на сервере.

  1. Уязвимость позволяет злонамеренному пользователю войти в систему как администратор, представляя символ “ вместо пароля.
  2. Удаленный пользователь может использовать последовательность "../" чтобы просматривать произвольные файлы на системе.

    Пример/Эксплоит: http://[victim]/../../some_file

    URL производителя: http://www.minihttpserver.net/bbs/index.php

    Решение:

    Способов устранения обнаруженной уязвимости не существует в настоящее время. Используйте альтернативное программное обеспечение.