Программа: Gadu-Gadu 6.0
Уязвимость обнаружена в Gadu-Gadu чат клиенте. Удаленный авторизованный пользователь может послать файл с подмененным расширением.
Удаленный пользователь может создать ссылку со специально обработанным именем файла, содержащее чрезмерное количество пробелов после настоящего расширения файла, которое клиент Gadu-Gadu отобразит с другим расширением при попытке загрузить этот файл.
Пример:
http://wb.pl/bartosz/gg/pic.jpg%20(228%20kB) %20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20% 20%20%20%20%20%20%20%20%20%20% 20 %20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20% 20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20%20%20% 20%20%20%20%20%20%20%20%20%20%
20%20%20%20%20%20%20%20.bat
Скриншот эксплоита:
