Shambala Server — FTP,
Web и Chat сервер для Win 9*/NT. 

Несколько уязвимостей обнаружено в FTP сервере. В результате удаленный авторизованный пользователь может просматривать и загружать произвольные файлы, а также аварийно завершить работу сервера.

1. FTP сервер не фильтрует «\..» и «/..» последовательности символов в некоторых запросах. В результате возможет неавторизованный доступ вне FTP ROOT каталога: 

get \..\..\..\..\..\..\..\..\..\..\WINNT\REPAIR\sam._

2. Удаленный авторизованный пользователь может также загрузить произвольный файл вне основного FTP каталога. Пример: 
send pwd.pl \..\..\..\..\..\..\..\..\..\..\WINNT\REPAIR\test.pl

3. Следующая команда приведет к аварийному завершению работы уязвимого сервера: 
CWD /

Уязвимость обнаружена в Shambala Server 4.5

Оставить мнение