Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

WEB-ERP Disclosure des données sensiblesbase information

21/01/2007 02H45
Référence Secunia : SA8193 
Date de publication : 2003-03-03

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Exposition d'informations systèmes, Exposition de données sensibles
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
WEB-ERP 0.1.x

Description :
Une erreur de contrôle d'accès dans WEB-ERP pourrait être exploitée par des personnes malintentionnées afin de divulguer des données sensiblesbase information.

Any person peut envoyer une requête HTTP pour le fichier de configuration located at "http://[server]/logicworks.ini", qui va return le contenu du fichier. Cela divulgue diverses informations incluant the MySQL username et mot de passe utilisé par WEB-ERP.

Si une personne malicieuse peut connect directement à the MySQL service, cela pourrait être exploité pour voir, créer ou modifier any data dans la base de données avec les mêmes privilèges que WEB-ERP.


Solutions :
Mettre à jour en version 0.1.5:

http://sourceforge.net/project/showfiles.php?group_id=70949


Vulnérabilité découverte par :

Ryan Fox




Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.