标题: iTheora "url"泄漏敏感信息 [打印本页]

---

作者: pioneer     时间: 2008-2-21 09:28    标题: iTheora "url"泄漏敏感信息

来源

secunia.com

软件名

iTheora 1.x

描述

该漏洞可潜在泄漏敏感信息
传递到lib/download.php的"url"参数在读取文件前没有被准确过滤，这可通过目录遍历攻击导致下载任意当前文件

该漏洞在V1.0rc1中已经报告，之前的其它版本也可能受到影响

解决方案

更新到V1.0rc2.

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn