Zomplog 3.8.1 and earlier stores potentially sensitive information under the web root with insufficient access control, which allows remote attackers to download files that were uploaded by users, as demonstrated by obtaining a directory listing via a direct request to /upload and then retrieving individual files. NOTE: in a non-default configuration, the directory listing is denied, but filenames may be predicable.

Zomplog 3.8.1 y anteriores almacena información potencialmente sensible bajo la raíz web con control de acceso insuficiente, lo cual permite a atacantes remotos descargar archivos que han sido enviados por los usuarios, como se ha demostrado obteniendo un listado de directorio mediante una petición directa de /upload y después recuperando archivos individuales. NOTA: en una configuración no por defecto, el listado de directorio está denegado, pero los nombres de archivo pueden ser predecibles.