Обход каталога в Fastream NETFile server

Программа: Fastream NETFile server версии до 7.5.0 Beta 7

Уязвимость позволяет удаленному
авторизованному пользователю выйти за
пределы корневой FTP директории, создавать и
удалять произвольные файлы и директории на
целевой системе. Удаленный авторизованный
пользователь может с помощью специально
сформированного URL выйти за пределы
корневой FTP директории и создать
произвольные файлы и каталоги на сервере.

Примеры:

http://[target]/?command=delete&filename=.../..//a/.../yyy.txt
http://[target]/?command=mkdir&filename=.../..//a/.../testdir
http://[target]/?command=rmdir&filename=.../..//a/.../testdir

Анатолий Ализар: Бывший автор новостной ленты «Хакера». Увлекается современными технологиями, оружием, информационной безопасностью, носимой электроникой и в целом концепцией Internet of Things.
Похожие материалы