В форумной CMS FUDforum обнаружена уязвимость LFI, позволяющая выполнять подключение, выполнение или чтение локальных файлов на сервере.

FUDforum представляет собой бесплатный интернет-форум с открытым исходным кодом, разрабатываемым Advanced Internet Designs Inc.

Параметр "file" компонента hlplist.php подвержен уязвимости "обход каталога/directory traversal", который позволяет просматривать произвольные файлы. Local  File  Inclusion (LFI) представляет собой тип уязвимости,  которая  позволяет злоумышленнику использовать локальный файл на серверной  стороне, через скрипт на веб-сервере. Уязвимость существует из-за  использования вводимых данных без надлежащей проверки.

http://localhost/fudforum/adm/hlplist.php?tname=default&tlang=./af&&SQ=4b181ea1d2d40977c7ffddb8a48a4724&file=../../../../../../../../../../etc/passwd

Использование Web Application Firewall позволяет блокировать подобные атаки.