Программа: ADA Image Server (ImgSvr) 0.x
Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS атаку и получить доступ к конфиденциальной информации на целевой системе.
1) Уязвимость возникает из-за ошибки в проверке входных данных в URL перед возвращением в определенных сообщениях об ошибках. Атакующий может выполнить произвольный сценарий в браузере жертвы в контексте безопасности уязвимого сайта.
Пример:
http://[host]:1235/../[code]
2) Уязвимость возникает из-за ошибки в проверке входных данных. Атакующий может использовать классический прием обхода директорий с помощью последовательности символов "../" или специально составленный кодированный URL, что позволит ему получить доступ к директориям вне корневой web директории.
Пример:
GET test../../../../boot.ini HTTP/1.0
3) Уязвимость возникает из-за ошибки в проверке входных данных в параметре "template". Атакующий может выгрузить произвольный файл с целевой системы.
Пример:
http://[host]:1235/template?..\..\..\..\boot.ini
