Программа: Kiwi CatTools TFTP

Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за ошибки в проверке имен файлов в PUT и GET запросах, которые могут быть использованы для загрузки/выгрузки файлов на/c сервер. Атакующий может перезаписать произвольные файлы, в том числе и исполняемые, что позволит ему выполнить произвольный код на целевой системе.

Пример:

C:\>tftp -i 10.1.1.2 GET /x/../../../../../boot.ini boot.txt
C:\>tftp -i 10.1.1.2 PUT boot.txt /x/../../../../../pttest.txt
 



Оставить мнение