Delphis Consulting Internet Security Team (DCIST) обнаружила прореху в безопасности в продукте QuotaAdvisor от WQuinn. Этот баг позволяет непривилегированным пользователям (обычные юзеры 🙂 просмотреть все доступные на сервере файлы.

Системы уязвимы:
QuotaAdvisor 4.1

Чтобы воспользоваться прорехой надо быть «простым смертным» пользователем (т.е. не administrator’ом или power user’ом). Фишка в том, что из-под обычного акаунта можно просмотреть только сами ресурсы, но не их контент. Однако, если ты запустишь report относительно этого ресурса, то прога выдаст тебе его контент и «физическое» расположение файлов.

Оставить мнение