Security Lab

Инклюдинг локальных файлов в Cryptographp

Дата публикации:24.03.2009
Всего просмотров:2316
Опасность:
Низкая
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
Раскрытие системных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: Cryptographp 1.x
Уязвимые версии: Cryptographp 1.4, возможно более ранние версии

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

Уязвимость существует из-за недостаточной обработки входных данных в параметре "cfg" в сценарии cryptographp.inc.php. Удаленный пользователь может с помощью специально сформированного запроса, содержащего символы обхода каталога, просмотреть содержимое произвольных файлов на системе. Для успешной эксплуатации уязвимости приложение должно использовать текстовые файлы для хранения данных в директории с сценарием cryptographp.inc.php.

URL производителя: www.captcha.fr

Решение: Способов устранения уязвимости не существует в настоящее время.

Ссылки: http://lists.grok.org.uk/pipermail/full-disclosure/2009-March/068421.html