phnews 权限许可和访问控制漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1117406 漏洞类型 权限许可和访问控制
发布时间 2009-02-17 更新时间 2009-03-10
CVE编号 CVE-2009-0866 CNNVD-ID CNNVD-200903-201
漏洞平台 PHP CVSS评分 5.0
|漏洞来源
https://www.exploit-db.com/exploits/8073
https://www.securityfocus.com/bid/79560
https://cxsecurity.com/issue/WLB-2009030163
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200903-201
|漏洞详情
pHNew是一种用PHP编写的新的网页内容管理/门户系统。pHNewsAlpha1在根目录下储存敏感信息,但没有赋予足够的访问控制,这会允许远程攻击者可以借助对extra/genbackup.php提交的一个直接请求,下载一个数据库。
|漏洞EXP
#########################################################################################
[0x01] Informations:

Name           : pHNews Alpha 1
Download       : http://www.hotscripts.com/listings/jump/download/50111/
Vulnerability  : Db Discloure
Author         : x0r
Contact        : andry2000@hotmail.it
Notes          : Proud to be Italian 
#########################################################################################
[0x02] Bug:

Bugged file is /[path]/extra/genbackup.php

#########################################################################################
[0x03] Exploit:

Exploit: http://victim.org/extra/genbackup.php
########################################################################################

# milw0rm.com [2009-02-17]
|受影响的产品
Phnews Phnews 1 Alpha
|参考资料

来源:XF
名称:phnews-genbackup-info-disclosure(48801)
链接:http://xforce.iss.net/xforce/xfdb/48801
来源:MILW0RM
名称:8073
链接:http://www.milw0rm.com/exploits/8073