GoAhead - Web сервер с открытым исходным кодом. Обнаруженная уязвимость позволяет удаленному атакующему вставлять произвольный код сценария в страницы ошибки и получать доступ к файлам, находящимся вне корневой web директории.
1. Cross Site Scripting. Уязвимость позволяет вставлять произвольный javascript код при запросе несуществующего ресурса:
GoAhead-server/[SCRIPT]alert(document.domain)/[SCRIPT]
2. Кодируя символ '/', можно получить доступ к произвольным файлам вне корневой Web директории:
GoAhead-server/..%5C..%5C..%5C..%5C..%5C..%5C/winnt/win.ini
Уязвимость обнаружена в GoAhead Web Server version 2.1.
