Несколько уязвимостей обнаружено в Forum Web Server. Удаленный пользователь может просматривать файлы на системе. Удаленный пользователь, способный контролировать сетевой трафик, может получить пароли пользователей. 

Сообщается, что удаленный пользователь, способный просматривать трафик между Web клиентом и сервером, может просмотреть пароли целевого пользователя. Сервер устанавливает куки, в которых содержатся имя пользователя и пароль целевого пользователя. Пример: 

Host: 10.10.10.1
Cookie: IDHTTPSESSIONID=3ertf3dsxfy3aqW; UserID=user10; PassWD=0000

Также сообщается, что удаленный пользователь может просматривать произвольные команды на системе. Пример: 

http://10.10.10.1/../../../boot. ini

Уязвимость обнаружена в Forum Web Server 1.6.



Оставить мнение