QuikStore - удобное решение "под ключ" для совершения покупок с помощью интернет карточек. Уязвимость в программе позволяет получить лоступ к "местным" файлам сервера.

Системы уязвимы:
QuikStore version 2.00
QuikStore version 2.09.05
QuikStore version 2.09.10

В нескольких версиях QuikStore Shopping Cart возможно "прочитать" любой файл на сервере. Пример - кто-нибудь может легко получить файл с твоим паролем и инфу о тебе или о твоей кредитке 🙂 (Хотя и используется PGP для шифрования записей, некоторые отважные администраторы, забивая на безопасность, хранят ключ в этой же системе).

Баг непосредственно в QuikStore.cgi. Следующий пример захватывает фактический сурс-код программы CGI. Другая потенциальная проблема состоит в том, что возможно "прочитать" файлы конфигурации и обнаружить пути к инфе, которая, по идее, зачем-то специально закрывается от посторонних 🙂

Пример:
http://www.example.com/cgi-bin/quikstore.cgi?page=../quikstore.cgi%00html&cart_id=

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии