CVE-2003-1383
CVSS7.5
发布时间 :2003-12-31 00:00:00
修订时间 :2008-09-05 16:36:47
NMCO    

[原文]WEB-ERP 0.1.4 and earlier allows remote attackers to obtain sensitive information via an HTTP request for the logicworks.ini file, which contains the MySQL database username and password.


[CNNVD]Web-ERP配置文件远程访问漏洞(CNNVD-200312-106)

        
        WEB-ERP是一款基于WEB的企业资源计划软件。
        WEB-ERP没有充分限制用户对配置文件的访问,远程攻击者可以利用这个漏洞获得系统敏感信息。
        WEB-ERP的配置文件logicworks.ini包含了应用程序使用的MySQL用户名和密码,这个文件系统没有任何访问限制,任意攻击者可以通过访问此文件获得这些敏感信息,利用这些信息可以对数据库进行恶意操作。
        

- CVSS (基础分值)

CVSS分值: 7.5 [严重(HIGH)]
机密性影响: PARTIAL [很可能造成信息泄露]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: PARTIAL [可能会导致性能下降或中断资源访问]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: NETWORK [攻击者不需要获取内网访问权或本地访问权]
身份认证: NONE [漏洞利用无需身份认证]

- CWE (弱点类目)

CWE-264 [权限、特权与访问控制]

- CPE (受影响的平台与产品)

产品及版本信息(CPE)暂不可用

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2003-1383
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2003-1383
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200312-106
(官方数据源) CNNVD

- 其它链接及资源

http://xforce.iss.net/xforce/xfdb/11443
(UNKNOWN)  XF  weberp-logicworks-ini-access(11443)
http://www.securityfocus.com/bid/6996
(UNKNOWN)  BID  6996
http://www.securityfocus.com/archive/1/313575
(UNKNOWN)  BUGTRAQ  20030301 web-erp 0.1.4 database access vulnerability
http://securityreason.com/securityalert/3257
(UNKNOWN)  SREASON  3257

- 漏洞信息

Web-ERP配置文件远程访问漏洞
高危 配置错误
2003-12-31 00:00:00 2003-12-31 00:00:00
远程  
        
        WEB-ERP是一款基于WEB的企业资源计划软件。
        WEB-ERP没有充分限制用户对配置文件的访问,远程攻击者可以利用这个漏洞获得系统敏感信息。
        WEB-ERP的配置文件logicworks.ini包含了应用程序使用的MySQL用户名和密码,这个文件系统没有任何访问限制,任意攻击者可以通过访问此文件获得这些敏感信息,利用这些信息可以对数据库进行恶意操作。
        

- 公告与补丁

        厂商补丁:
        Web-ERP
        -------
        目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://web-erp.sourceforge.net

- 漏洞信息

59536
webERP logicworks.ini Direct Request Database Credentials Disclosure
Remote / Network Access Information Disclosure
Loss of Confidentiality Upgrade
Vendor Verified

- 漏洞描述

WEB-ERP contains a flaw that may lead to an unauthorized information disclosure.  The issue is triggered when a remote attacker sends a URL request for the 'logicworks.ini' file obtaining sensitive information, including the username and password for the backend MySQL database, which will disclose sensitive information about the back end database including database login credentials.

- 时间线

2003-02-28 Unknow
Unknow Unknow

- 解决方案

Upgrade to version 0.1.5.1 or higher, as it has been reported to fix this vulnerability. An upgrade is required as there are no known workarounds.

- 相关参考

- 漏洞作者

 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站