Podatność CVE-2007-4261


Publikacja: 2007-08-08   Modyfikacja: 2012-02-12

Opis:
EZPhotoSales 1.9.3 and earlier stores sensitive information under the web root with insufficient access control, which allows remote attackers to download (1) a file containing cleartext passwords via a direct request for OnlineViewing/data/galleries.txt, or (2) a file containing username hashes and password hashes via a direct request for OnlineViewing/configuration/config.dat/. NOTE: vector 2 can be leveraged for administrative access because authentication does not require knowledge of cleartext values, but instead uses the username hash in the ConfigLogin parameter and the password hash in the ConfigPassword parameter.

W naszej bazie, znaleźliśmy następujące noty dla tego CVE:
Tytuł
Autor
Data
High
EZPhotoSales 1.9.3 Multiple Vulnerabilities
Seth Fogie
09.08.2007

Typ:

CWE-255

(Credentials Management)

CVSS2 => (AV:N/AC:L/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
7.5/10
6.4/10
10/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Niska
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Ez photo sales -> Ez photo sales 

 Referencje:
http://securityreason.com/securityalert/2985
http://www.airscanner.com/security/07080601_ezphotosales.htm
http://www.informit.com/guides/content.asp?g=security&seqNum=267
http://www.informit.com/guides/content.asp?g=security&seqNum=268
http://www.securityfocus.com/archive/1/475678/100/0/threaded
http://www.securityfocus.com/bid/25323
https://exchange.xforce.ibmcloud.com/vulnerabilities/35840
https://exchange.xforce.ibmcloud.com/vulnerabilities/35841

Copyright 2024, cxsecurity.com

 

Back to Top