Программа: GNUMP3d версии до 2.9.6
Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение и просмотреть произвольные файлы
на системе.
1. Межсайтовый скриптинг существует из-за
недостаточной обработки входных данных при
отображении страницы с ошибкой 404 в
браузере жертвы. Удаленный пользователь
может выполнить произвольный HTML сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.
2. Обход каталога возможен из-за
недостаточной фильтрации входных данных
при обработке ссылки. Удаленный
пользователь может с помощью специально
сформированного URL, содержащего символы
обхода каталога, просмотреть произвольные
файлы на системе.
Пример:
http://[host]/.//../////././/../////./[file]
