Рекомендуем почитать:
Хакер #305. Многошаговые SQL-инъекции
Программа: rdiffWeb 0.x
Уязвимость позволяет удаленному злоумышленнику получить несанкционированный доступ к конфиденциальной информации на целевой системе.
Уязвимость существует из-за ошибки в проверке входных данных в параметре "path" в "/browse/". Атакующий может получить список произвольных файлов на целевой системе.
Пример:
http://localhost:8080/browse/?repo=b&path=..%2F..%2F..%2Fetc