Программа: Cybozu Office 6.5 (Build 1.2) для Windows
Уязвимость позволяет удаленному пользователю получить доступ к важным данным на системе.
1. Уязвимость существует из-за недостаточной обработки входных данных в параметре "id" в файле scripts/cbag/ag.exe. Удаленный авторизованный пользователь может с помощью символов обхода каталога скачать произвольные файлы с системы.
Пример:
http://192.168.1.64/scripts/cbag/ag.exe?page=FileDownload& id=../../../../../../../../../../../../../inetpub/scripts/cbag/cb5/data/ admin¬imecard=1&type=text&subtype=html&ct=1
2. Злоумышленник может получить список существующих пользователей и групп.
