Программа: Yak! 2.1.2 и более ранние версии
Обнаружена уязвимость в Yak!. Удаленный авторизованный пользователь может загрузить файл в произвольную директорию на сервере.
Уязвимость существует из-за отсутствия фильтрации символов обхода каталога (‘../’). Удаленный атакующий может записать злонамеренный файл в любую директорию на сервере.
Пример:
dir /
dir ../../windows/
put
evil.exe
../../windows/calc.exe
