[ONSEC-09-005] Amiro.CMS root folder disclosure
Цель: Amiro CMS <= 5.4.0.0
Тип: Раскрытие путей
Угроза: Средняя
Дата обнаружения: 01.07.2009
Дата оповещения разработчика: 01.07.2009
Дата выхода исправления: 06.10.2009
Автор: Vladimir Vorontsov
OnSec Russian Security Group (onsec [dot] ru)
Описание: Уязвимость существует из-за некорректной обработки строки имени пользователя для входа в административную консоль. При вводе имени пользователя %%% злоумышленник может получить информацию о полном пути установки приложения, а также некоторые имена внутренних переменных. В следствие того, что функция аварийно завершает работу, администратор не узнает о компрометации системы через модуль "История логинов".
Реализация:
В строке логина административной консоли введите имя пользователя:
%%%
и осуществите попытку входа