Программа: Fastream NETFile server версии до 7.5.0 Beta 7

Уязвимость позволяет удаленному
авторизованному пользователю выйти за
пределы корневой FTP директории, создавать и
удалять произвольные файлы и директории на
целевой системе. Удаленный авторизованный
пользователь может с помощью специально
сформированного URL выйти за пределы
корневой FTP директории и создать
произвольные файлы и каталоги на сервере.

Примеры:

http://[target]/?command=delete&filename=.../..//a/.../yyy.txt
http://[target]/?command=mkdir&filename=.../..//a/.../testdir
http://[target]/?command=rmdir&filename=.../..//a/.../testdir

Оставить мнение