CH azonosító
CH-5244Angol cím
PRADO TActiveFileUpload File Manipulation VulnerabilityFelfedezés dátuma
2011.07.24.Súlyosság
KözepesÖsszefoglaló
A PRADO olyan sérülékenységét jelentették, melyet a támadók kihasználhatnak bizonyos adatok módosítására vagy érzékeny információk megszerzésére.
Leírás
Egy TActiveFileUpload API-t használó alkalmazásnak átadott bemenet felhasználás előtti ellenőrzése nem megfelelő. Ez kihasználható a könyvtár bejárási szekvenciákon keresztül tetszőleges fájl tartalmának felfedésére vagy tetszőleges fájl törlésére a webszerver jogosultságával.
A sérülékenységet a 3.1.3. és későbbi verziókban jelentették.
Megoldás
Javítva a fejlesztői verzióban.
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: code.google.com
SECUNIA 45273
