Программа: Caucho Resin 3.x
Уязвимость позволяет удаленному злоумышленнику получить несанкционированный доступ к конфиденциальной информации на целевой системе.
1) Уязвимость существует из-за ошибки в проверке входных данных, поступающих через URL. Атакующий может предоставить имя файла DOS устройства с произвольным расширением через URL, что позволит ему считать поток данных из COM или LPT устройства.
Пример:
http://[host]:8080/[path]/[device].[extension]
2) Уязвимость существует из-за ошибки в проверке входных данных, поступающих через URL. Атакующий может использовать символы обхода директорий для доступа к содержимому файлов из WEB-INF директории.
Пример:
http://[host]:8080/%20..\web-inf
3) Уязвимость существует из-за ошибки в проверке входных данных, поступающих через URL. Атакующий может использовать специальные символы для получения полного пути к Caucho Resin серверу.
Примеры:
http://[host]:8080/%20
http://[host]:8080/[path]/%20.xtp
