Программа: 602Pro LAN Suite 2003.0.3.0828
Несколько уязвимостей обнаружено в прокси сервере 602Pro LAN Suite. Удаленный авторизованный пользователь может просматривать произвольные файлы на системе. Удаленный авторизованный пользователь может получить информацию об Webmail пользователях.
Программное обеспечение не проверяет правильность 'GetFile' запросов в сценарии m602cl3w.exe. В результате удаленный авторизованный пользователь может просматривать произвольные файлы (в т.ч. почтовые сообщения других пользователей) на системе с привилегиями Web сервера.
Пример/Эксплоит:
http://[target]/mail/m602cl3w.exe?A=GetFile&U=7921604D7A587937986E24242C05
88&DL=0& FN=../../../boot.ini
В параметре U представлен ID удаленного авторизованного пользователя.
