Программа: Fastream NETFile server версии до 7.5.0 Beta 7

Уязвимость позволяет удаленному
авторизованному пользователю выйти за
пределы корневой FTP директории, создавать и
удалять произвольные файлы и директории на
целевой системе. Удаленный авторизованный
пользователь может с помощью специально
сформированного URL выйти за пределы
корневой FTP директории и создать
произвольные файлы и каталоги на сервере.

Примеры:

http://[target]/?command=delete&filename=…/..//a/…/yyy.txt
http://[target]/?command=mkdir&filename=…/..//a/…/testdir
http://[target]/?command=rmdir&filename=…/..//a/…/testdir

Оставить мнение