Хакер #305. Многошаговые SQL-инъекции
Программа:
Citrix Access Essentials 1.x
Citrix Access Essentials 2.x
Citrix MetaFrame Presentation Server 3.x
Citrix Presentation Server 4.x
Уязвимость позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе. Уязвимость существует из-за того, что приложения для публикации и потенциально другие приложения могут быть запущены при установлении ICA соединения на Citrix Presentation Server. Атакующий может обманным образом заманить пользователя на специально составленный сайт или передать специально сформированный .ICA файл, что позволит ему запустить приложения для публикации со специально составленными параметрами на сервере Citrix Presentation Server.
Пример:
http://www.gnucitizen.org/blog/citrix-owning-the-legitimate-backdoor/