Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: PHP Advanced Transfer Manager 1.30
Уязвимость позволяет удаленному злоумышленнику получить содержимое произвольных файлов на целевой системе. Уязвимость существует из-за ошибки в обработке входных данных в параметре «current_dir» сценариями html.php и htm.php. Атакующий может получить содержимое произвольных файлов на целевой системе.
Примеры:
http://site.gov.pl/upload/viewers/html.php?current_dir=..&filename=[file]
http://site.gov.pl/upload/viewers/htm.php?current_dir=..&filename=[file]