Micro Login System UserPWD.TXT 信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1188576 漏洞类型 权限许可和访问控制
发布时间 2007-10-29 更新时间 2007-11-15
CVE编号 CVE-2007-5787 CNNVD-ID CNNVD-200711-023
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/26246
https://cxsecurity.com/issue/WLB-2007110002
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200711-023
|漏洞详情
MicroLoginSystem1.0版本在web根目录存储敏感信息但没有赋予足够的访问控制,远程攻击者可以借助对userpwd.txt提交一个直接请求,下载一个包含密码的文件。
|漏洞EXP
Micro Login System v1.0 (userpwd.txt) Password Disclosure

Vulnerability

#Affected Software: Micro Login System v1.0

#Download: http://www.hotscripts.com/jump.php?listing_id=67504&jump_type=1

#Bugfounder: 0x90

#Contact: Guns[at]0x90[dot]com[dot]ar

#homepage: WwW.0x90.CoM.Ar

#[+]Exploit: http://[target]/[path]/userpwd.txt
|受影响的产品
phptoys.com Micro Login System 1.0
|参考资料

来源:BUGTRAQ
名称:20071026MicroLoginSystemv1.0(userpwd.txt)PasswordDisclosureVulnerability
链接:http://www.securityfocus.com/archive/1/archive/1/482858/100/0/threaded
来源:OSVDB
名称:40641
链接:http://osvdb.org/40641
来源:BID
名称:26246
链接:http://www.securityfocus.com/bid/26246
来源:SREASON
名称:3328
链接:http://securityreason.com/securityalert/3328
来源:SECUNIA
名称:27422
链接:http://secunia.com/advisories/27422