Security Lab

Удаленный доступ к диагностическому интерфейсу в CyberShop ASP

Дата публикации:18.07.2003
Всего просмотров:1253
Опасность:
Средняя
Наличие исправления: Нет
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации: Удаленная
Воздействие: Раскрытие важных данных
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты: CyberShop ASP 6.x
Описание:

Уязвимость обнаружена в установке по умолчанию CyberShop ASP. Удаленный пользователь может обратиться к диагностическому интерфейсу, чтобы просмотреть информацию о системе. В некоторых случаях, удаленный пользователь может просмотреть базу данных магазина.

В конфигурации по умолчанию, утилита диагностики 'shopdbtest.asp' доступна удаленному пользователю. Пример:

http://[target]/dir/shopdbtest.asp

Также сообщается, что на некоторых сайтах, удаленный пользователь может загрузить базу данных магазина (*.mdb) и просматривать информацию о покупателях, включая пароли и другую, потенциально чувствительную информацию.

Уязвимость обнаружена в CyberShop ASP 6.0Fx

Способов устранения обнаруженной уязвимости не существует в настоящее время.