Программа: CloisterBlog 1.2.2 

Несколько уязвимостей обнаружено в CloisterBlog. Удаленный пользователь может просматривать файлы на целевой системе. Удаленный авторизованный пользователь может получить административный доступ. Удаленный пользователь может выполнить XSS нападение. 

Пример: 

/cloisterblog/journal.pl?syear=2004&sday=11 &smonth=../../../../../../.. /../etc/passwd%00

Также сообщается, что административная часть не достаточно аутентифицирует администратора – проверяется только пароль, вместо USER ID и пароля.

Оставить мнение