Security Lab

Доступ к произвольным файлам в snif

Дата публикации:01.12.2003
Дата изменения:02.02.2010
Всего просмотров:1241
Опасность:
Средняя
Наличие исправления: Да
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: bitfolge snif 1.x
Уязвимые версии: snif версии до 1.2.5

Описание: Уязвимость обнаружена в 'simple and nice index file' (snif) приложении. Удаленный пользователь может просмотреть файлы на сервере.

Удаленный пользователь может определить абсолютный путь и имя файла для параметра 'download' в index.php файле, и просмотреть произвольные файлы на целевой системе с привилегиями Web сервера.

Пример/Эксплоит:

http://[target]/snif/index.php?download=/etc/passwd

URL производителя:://www.bitfolge.de/index.php?l=en&s=snif

Решение:Производитель выпустил обновленную версию программы (1.2.5): http://www.bitfolge.de/download/snif_125.zip

Ссылки: Snif 1.2.4 file retrieval bug

http://www.bitfolge.de/?l=en&s=snif