Программа: newsgrab версии до 0.5.0pre4

Обнаружено две уязвимости в newsgrab, которые
позволяют просмотреть, перезаписать и
создать файлы на уязвимой системе.

1. Уязвимость существует в файле ‘newsgrab.pl’,
который назначает права на чтение всем в «исходящей»
директории.

2. Программное обеспечение некорректно
обрабатывает имена файлов, получаемых с
сервера. Удаленный пользователь может
создать новость со специально
сформированным именем файла, содержащим
символы обхода каталога (../) и записать этот
файл в произвольный каталог на целевой
системе пользователя с его привилегиями.



Оставить мнение