Katrien De Graeve a.shopKart web根目录 信息泄露漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1194684 漏洞类型 未知
发布时间 2006-06-05 更新时间 2006-06-05
CVE编号 CVE-2006-2823 CNNVD-ID CNNVD-200606-103
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
https://www.securityfocus.com/bid/79861
https://cxsecurity.com/issue/WLB-2006060031
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200606-103
|漏洞详情
KatrienDeGraevea.shopKart2.0(ashopKart20)在web根目录下存储敏感信息,且不带有充分的访问空间,远程攻击者可通过直接请求(1)admin/scart.mdb并可能(2)admin/scart97.mdb来下载数据库。
|漏洞EXP
################ Azhteam Digital Security Team #################

#

# ASHOPKART20

#

# Find by Soltan_defacer

# Greetings; s.defacer - azhteam - lvl3hr

#

#

# ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

# Contact: soltan_defacer (at) yahoo (dot) com [email concealed]   or   http://www.azhteam.com

#

##################################################################

Dork : inurl: /ashopKart20/

example:   www.site.com/ashopKart20/scart.mdb

www.site.com/ashopKart20/admin/scart.mdb
|受影响的产品
A.Shopkart A.Shopkart 2.0
|参考资料

来源:BUGTRAQ
名称:20060602newbug
链接:http://www.securityfocus.com/archive/1/archive/1/435746/100/0/threaded
来源:XF
名称:ashopkart-database-file-access(15599)
链接:http://xforce.iss.net/xforce/xfdb/15599
来源:OSVDB
名称:26237
链接:http://www.osvdb.org/26237
来源:VUPEN
名称:ADV-2006-2208
链接:http://www.frsirt.com/english/advisories/2006/2208
来源:SECTRACK
名称:1009549
链接:http://securitytracker.com/id?1009549
来源:SREASON
名称:1025
链接:http://securityreason.com/securityalert/1025
来源:SECUNIA
名称:20485
链接:http://secunia.com/advisories/20485