Программа: EServ 3.25 и более ранние версии.

Обнаруженные уязвимости позволяют удаленному пользователю обойти ограничения безопасности и получить доступ к важным данным на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметрах команд CREATE, SELECT, DELETE, RENAME, COPY и APPEND в службе IMAP. Удаленный пользователь может с помощью символов обхода каталога просмотреть произвольные письма пользователей, создать, переименовать и удалить директории на системе.

2. Уязвимость существует из-за недостаточной проверки расширений файлов при обработке URL. Удаленный пользователь может с помощью специально сформированного запроса, содержащего точку, пробел и символ слеш, просмотреть исходный код сценариев (PHP, PL) на системе.
 



Оставить мнение