Программа: GNUMP3d версии до 2.9.6

Обнаруженные уязвимости позволяют
удаленному пользователю произвести XSS
нападение и просмотреть произвольные файлы
на системе.

1. Межсайтовый скриптинг существует из-за
недостаточной обработки входных данных при
отображении страницы с ошибкой 404 в
браузере жертвы. Удаленный пользователь
может выполнить произвольный HTML сценарий в
браузере жертвы в контексте безопасности
уязвимого сайта.

2. Обход каталога возможен из-за
недостаточной фильтрации входных данных
при обработке ссылки. Удаленный
пользователь может с помощью специально
сформированного URL, содержащего символы
обхода каталога, просмотреть произвольные
файлы на системе.

Пример:

http://[host]/.//../////././/../////./[file]

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии