Раcкрытие информации обо всех SQL запросах, сделанных PHPNuke

Дата публикации:
21.01.2002
Всего просмотров:
1390
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: PHPNuke - инструмент создания/обслуживания сайта.

Сценарий SQL_layer.php содержит особенность отладки, которая может использоваться нападающими, чтобы раскрыть чувствительную информацию обо всех SQL запросах, сделанных PHPNuke. К этой особенности доступ не ограничен.

Уязвимость может использоваться удаленным нападающим, чтобы раскрыть чувствительную информацию о базе данных, которая может способствовать дальнейшим нападениям против сайта, выполняющего PHPNuke и базы данных.

Уязвимость найдена в Francisco Burzi PHP-Nuke 1.0-5.4

Пример:

http://www.vulnerable-site.com/index.php?sql_debug=1

или

http://www.vulnerable-site.com/modules.php?name=Members_List&&sql_debug=1

Ссылки: http://phpnuke.org/

или введите имя

CAPTCHA