Macromedia Dreamweaver远程用户数据库访问漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1201824 漏洞类型 配置错误
发布时间 2004-04-02 更新时间 2005-10-20
CVE编号 CVE-2004-1893 CNNVD-ID CNNVD-200412-974
漏洞平台 N/A CVSS评分 5.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-974
|漏洞详情
Dreamweaver是Macromedia公司开发和维护的一款流行的网页设计软件,可使用在MicrosoftWindows操作系统下。Dreamweaver远程数据库连接功能存在安全问题,远程攻击者可以利用这个漏洞访问数据库获得敏感信息。Dreamweaver的远程数据库连接功能为了用于动态数据库驱动而安装的脚本存在问题,攻击者可以使用这些脚本发送SQL命令给服务程序,获得数据库服务器的控制权。当用户在数据库连接对话框中指定"UsingDriverOnTestingServer"或"UsingDSNonTestingServer",Dreamweaver自动上传文件到测试服务器允许Dreamweaver通过HTTP协议操作远程数据库,这允许Dreamweaver获得数据库信息来帮助用户建立在站点,但是这个文件可获得系统中定义的DSN信息,如果DSN和数据库没有密码保护,该可以发送SQL命令给数据库而获得敏感信息。
|参考资料

来源:SECUNIA
名称:11284
链接:http://secunia.com/advisories/11284
来源:XF
名称:dreamweaver-test-script-sql-injection(15721)
链接:http://xforce.iss.net/xforce/xfdb/15721
来源:BID
名称:10036
链接:http://www.securityfocus.com/bid/10036
来源:www.nextgenss.com
链接:http://www.nextgenss.com/advisories/dreamweaver.txt
来源:www.macromedia.com
链接:http://www.macromedia.com/devnet/security/security_zone/mpsb04-05.html
来源:BUGTRAQ
名称:20040403[securityzone@macromedia.com:NewMacromediaSecurityZoneBulletinPosted]
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=108102481929451&w=2
来源:NSFOCUS
名称:6268
链接:http://www.nsfocus.net/vulndb/6268