p-news db/user.txt 权限许可和访问控制漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1111681 漏洞类型 权限许可和访问控制
发布时间 2006-11-28 更新时间 2007-03-05
CVE编号 CVE-2006-7114 CNNVD-ID CNNVD-200703-189
漏洞平台 PHP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/2862
https://www.securityfocus.com/bid/86849
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200703-189
|漏洞详情
P-News2.0版本将db/user.txt储存在web文档根下而未赋予足够的访问控制,这使得远程攻击者可以借助一个直接请求,获得敏感信息,比如用户名和密码信息。注意:此漏洞可能与CVE-2006-6888一样。
|漏洞EXP
P-News V² -  (user.txt)  Information Disclosure Vulnerability


**************************************************************
Critical Level : Dangerous
**************************************************************
Script Download: http://download.planerd.net/dir/php
**************************************************************
Bugfounder: Lu7k
**************************************************************
Contact Me : www.school-of-hack.de or lu7k@mail.nu
**************************************************************

-----------------------------------------------------------------------------

Code:http://target/path/db/user.txt

-----------------------------------------------------------------------------

*************************************************************
Greetings: Bdrok - TheJT - MyMaster - str0ke
*************************************************************

# milw0rm.com [2006-11-28]
|受影响的产品
Planerd.Net P-News 2.0
|参考资料

来源:XF
名称:pnews-user-information-disclosure(30578)
链接:http://xforce.iss.net/xforce/xfdb/30578
来源:VUPEN
名称:ADV-2006-4770
链接:http://www.frsirt.com/english/advisories/2006/4770
来源:SECUNIA
名称:23103
链接:http://secunia.com/advisories/23103