Программа: Xaraya 1.0.0 RC4 и более ранние версии
1. Уязвимость позволяет удаленному пользователю получить доступ к потенциально важным данным на системе и вызвать отказ в обслуживании системы.
Уязвимость существует при обработке входных данных в параметре "module" сценария "index.php". Удаленный пользователь может с помощью специально сформированного URL просмотреть произвольные файлы на системе.
Пример:
http://[target]/[path_to_xaraya]/index.php? module=../../../../../.htaccess
http://[target]/[path_to_xaraya]/index.php? module=../../../../.key.php
2. Удаленный пользователь может перезаписать произвольные файлы на системе с помощью специально сформированного URL, содержащего нулевой символ.
Пример:
http://[target]/[path_to_xaraya]/index.php?module=
../../../../config.system.php%00
3. Удаленный пользователь может, также, создавать пустые директории и выполнить действия, которые могут привести у отказу в обслуживании.
