Multiple directory traversal vulnerabilities in fm.php in Simple File Manager (SFM) 0.24a allow remote attackers to use ".." sequences to (1) read arbitrary files via the filename parameter in a download action, (2) delete arbitrary files via the delete parameter, and (3) modify arbitrary files via the edit parameter, which can be leveraged to execute arbitrary code.

Múltiples vulnerabilidades de escalado de directorio en fm.php del Simple File Manager (SFM) 0.24a permite a atacantes remotos el uso de secuencias ".." para (1) la lectura de ficheros de su elección a través del parámetro filename en una acción de descarga, (2) borrado de ficheros de se elección a través del parámetro delete y (3) modificación de ficheros de su elección a través del parámetro edit, que se puede utilizar para la ejecución de código de su elección.