Уязвимость VOC++ BSE - раскрытие путей
Казалось бы мелочь, но уязвимость таки присутсвует на многих чатах, позволяя атакующему, узнать абсолютный путь к скрипту на сервере, и в дальнейшем использовать для каких-либо целей.
Как известно в дистрибутиве чата много лишних(мусорных) файлов, которые не используются чатом, и при этом разработчик также не удосужился их удалить, среди них файл merge.php, который находится в корне чата, и присутсвует в стандартном дистрибутиве чата, приходящем от разработчика. Естественно в большинстве чатов этот файл не удаляли. При прямом обращенни к файлу, выбиватся соответствующая ошибка с раскрытием путей.
Пара примеров первых попавшихся в гугле чатов -
