Программа: Xerver версии до 4.20

Уязвимость позволяет удаленному
пользователю произвести XSS нападение и
получить доступ к потенциально важной
информации на системе.

1. Удаленный пользователь может
просмотреть исходный код сценариев,
добавив точку к имени файла во время HTTP GET
запроса.

Пример:

http://[host]/script.pl.

2. Возможен листинг директорий даже при
наличии индексно файла. Удаленный
пользователь может с помощью специально
сформированного HTTP запроса просмотреть
список файлов и папок в текущей директории
на сервере.

Пример:

http://[host]/%00/

3. Удаленный пользователь может выполнить
произвольный HTML сценарий в браузере жертвы
в контексте безопасности уязвимого сайта.

Пример:

http://[host]/%00/[code]



Оставить мнение