Уязвимость обнаружена в Rockliffe MailSite Express. Удаленный пользователь может просматривать email вложения.

Система хранит вложения в ‘cache’ каталоге, но не авторизует доступ к документам в этом каталоге. Удаленный пользователь, способный контролировать сетевой трафик, может просмотреть URL вложения. Также на сервере публично доступна статистика для всех Web страниц на сервере, т.е. удаленный пользователь может просматривать страницу статистики, чтобы получить URL, указывающие на email вложения. Пример:

http://[target]/express/cache/ DC44AEECB46AE0C029E85BBD43089833/ 411820066/attachment

Уязвимость обнаружена в Rockliffe MailSite Express 5.3.4.



Оставить мнение