Программа: GNUMP3d версии до 2.9.6

Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение и просмотреть произвольные файлы
на системе.

1. Межсайтовый скриптинг существует из-за
недостаточной обработки входных данных при
отображении страницы с ошибкой 404 в
браузере жертвы. Удаленный пользователь
может выполнить произвольный HTML сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.

2. Обход каталога возможен из-за
недостаточной фильтрации входных данных
при обработке ссылки. Удаленный
пользователь может с помощью специально
сформированного URL, содержащего символы
обхода каталога, просмотреть произвольные
файлы на системе.

Пример:

http://[host]/.//../////././/../////./[file]



Оставить мнение