Securinfos : dWebPro, Traversée de Répertoire et Divulgation d’Informations
avril 2009 par Securinfos
Quelques vulnérabilités ont été identifiées dans dWebPro, qui pourraient être exploitées par des personnes malintentionnées pour divulguer des informations sensibles potentielles.
1) Une vulnérabilité est causée du fait d’une erreur de validation d’entrée lors du traitement de requêtes HTTP, qui pourrait être exploitée pour divulguer le contenu de répertoires sur le système via des attaques pour traverser les répertoires.
2) Une erreur dans le traitement de requêtes HTTP pourrait être exploitée pour divulguer le contenu de par ex. asp fichiers en accèdant le flux de données alternatif NTFS (ADS) du fichier, par ex. "file.asp: :$DATA".
Les vulnérabilités sont confirmées en version 6.8.26. Les autres versions pourraient également être affectées.