Несколько уязвимостей обнаружено в Forum Web Server. Удаленный пользователь может просматривать файлы на системе. Удаленный пользователь, способный контролировать сетевой трафик, может получить пароли пользователей.
Сообщается, что удаленный пользователь, способный просматривать трафик между Web клиентом и сервером, может просмотреть пароли целевого пользователя. Сервер устанавливает куки, в которых содержатся имя пользователя и пароль целевого пользователя. Пример:
Host: 10.10.10.1
Cookie: IDHTTPSESSIONID=3ertf3dsxfy3aqW; UserID=user10; PassWD=0000
Также сообщается, что удаленный пользователь может просматривать произвольные команды на системе. Пример:
http://10.10.10.1/../../../boot. ini
Уязвимость обнаружена в Forum Web Server 1.6.
