Программа: CGI::Session 4.03, возможно более ранние версии.

Обнаруженные уязвимости позволяют удаленному и локальному пользователю получить
доступ к важным данным на системе.

1. Сессионные файлы создаются по умолчанию с небезопасными привилегиями на
чтение с помощью Driver::file, Driver::db_file и Driver::sqlite. Локальный
пользователь может получить доступ к сессионным данным на системе.

2. Сессионный файл "cgisess.db", созданный с помощью Driver::db_file,
сохраняется в той же директории, что и CGI сценарий. В некоторых конфигурациях
этот файл может быть создан в директории, доступной через Web. Удаленный
пользователь может с помощью специально сформированного URL получить доступ к
сессионным данным.
 

Оставить мнение