Delphis Consulting Internet Security Team (DCIST) обнаружила прореху в безопасности в продукте QuotaAdvisor от WQuinn. Этот баг позволяет непривилегированным пользователям (обычные юзеры 🙂 просмотреть все доступные на сервере файлы.
Системы уязвимы:
QuotaAdvisor 4.1
Чтобы воспользоваться прорехой надо быть "простым смертным" пользователем (т.е. не administrator'ом или power user'ом). Фишка в том, что из-под обычного акаунта можно просмотреть только сами ресурсы, но не их контент. Однако, если ты запустишь report относительно этого ресурса, то прога выдаст тебе его контент и "физическое" расположение файлов.