Уязвимость обнаружена в программном обеспечении управления проектами
dotproject. Удаленный пользователь может просматривать файлы на уязвимой системе через web-сервер.

Модуль core.php для работы использует
переменную пути $root_dir, но не определяет ее. Если система конфигурирована с глобальными переменными, то удаленный пользователь может ввести значение для $root_dir переменной, которая укажет на произвольный файл на целевом сервере. Пример: 

http://[target]/dotproject/locales/ core.php?root_dir=/file_or_dir_path/%00

'%00' заставит целевой сервер игнорировать любые другие последовательности символов. 

Уязвимость обнаружена в dotproject dev20030121.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии