Уязвимость в SlimServe HTTP позволяет удаленному атакующему просмотреть любую директорию вне виртуальной веб директории. Возможно получить листинг директории и скачать файлы из нее, используя простейшую '…' атаку.
Пример:
http://127.0.0.1/.../
http://127.0.0.1/.../.../директория/имя.разрешение
Фиксим:
Рекомендуется отключить листинг фолдеров, который разрешен дефолтом. Это обезопасит от просмотра листинга директорий вне
wwwroot разными лицами :). Но не спешите радоваться, файл все
еще можно скачать, зная его расположение 😉
