Программа: Daverave Simplog 1.0.2, возможно другие версии

Уязвимость позволяет удаленному пользователю просмотреть произвольные файлы на
системе. Уязвимость существует из-за недостаточной обработки входных данных в
параметрах "act" и "blogid" в сценарии index.php. Удаленный пользователь может с
помощью специально сформированного URL просмотреть произвольные файлы на
системе.

Пример:

http://victim/index.php?act=blog&blogid=../somefile
http://vuctim/index.php?act=../somefile

Для удачной эксплуатации уязвимости опция "magic_quotes_gpc" должна быть
выключена. При включенной опции "magic_quotes_gpc" злоумышленник может
просмотреть только ".txt" файлы.
 

Оставить мнение