Программа: CloisterBlog 1.2.2
Несколько уязвимостей обнаружено в CloisterBlog. Удаленный пользователь может просматривать файлы на целевой системе. Удаленный авторизованный пользователь может получить административный доступ. Удаленный пользователь может выполнить XSS нападение.
Пример:
/cloisterblog/journal.pl?syear=2004&sday=11 &smonth=../../../../../../.. /../etc/passwd%00
Также сообщается, что административная часть не достаточно аутентифицирует администратора – проверяется только пароль, вместо USER ID и пароля.
