Muscat Empower — менеджер информации для Internet/Intranet и приложений eCommerce. Уязвимость в продукте позволяет атакующему получить путь, используемый виртуальной директорией HTML.

Когда запрос содержит несуществующую базу данных, происходит возврат реального пути к каталогу, в котором расположены CGI и база данных.

Эксплоит:
http://www.example.com/cgi-bin/empower?DB=UkRteamHole



Оставить мнение