Программа: Barracuda Spam Firewall версии до 3.1.18

Уязвимость позволяет удаленному
пользователю просмотреть произвольные
файлы и выполнить произвольные команды на
целевой системе. Обход каталога возможет из-за
недостаточной обработки входных данных в
параметре ‘f’ сценария ‘/cgi-bin/img.pl’.
Удаленный пользователь может с помощью
специально сформированного URL, содержащего
символы обхода каталога просмотреть
произвольные файлы и выполнить
произвольные команды на системе.

Примеры:

http://[target]:8000/cgi-bin/img.pl?f=../home/ emailswitch/code/ config/current.conf

http://[target]:8000/cgi-bin/img.pl?f=../bin/ls|



Оставить мнение