Security Lab

Удаленный просмотр произвольных файлвов в osCommerce

Дата публикации:18.05.2004
Всего просмотров:4328
Опасность:
Низкая
Наличие исправления: Инстуркции по устранению
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: osCommerce 2.x
Уязвимые версии: osCommerce

Описание: Уязвимость обхода каталога обнаружена в osCommerce. Удаленный авторизованный администратор может просматривать файлы на целевой системе.

'admin/file_manager.php' не проверяет данные, представленные пользователем в параметре 'filename'.

Пример/Эксплоит:

file_manager.php?action=download&file name=../../../../../../../../etc/passwd

URL производителя: http://www.oscommerce.com/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: oscommerce 2.2 file_manager.php file browsing