Программа: Cybozu Office 6.5 (Build 1.2) для Windows

Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.

1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в файле scripts/cbag/ag.exe. Удаленный авторизованный пользователь может с помощью символов обхода каталога скачать произвольные файлы с системы.

Пример:

http://192.168.1.64/scripts/cbag/ag.exe?page=FileDownload& id=../../../../../../../../../../../../../inetpub/scripts/cbag/cb5/data/ admin¬imecard=1&type=text&subtype=html&ct=1

2. Злоумышленник может получить список существующих пользователей и групп.

Оставить мнение