AdminPassword" Уязвимость найдена в Sawmill 6.2.14" /> AdminPassword" Уязвимость найдена в Sawmill 6.2.14"/> AdminPassword" Уязвимость найдена в Sawmill 6.2.14"/>
Дата публикации: | 13.02.2002 |
Всего просмотров: | 1256 |
Опасность: | Низкая |
Наличие исправления: | Да |
Количество уязвимостей: | 1 |
CVE ID: | Нет данных |
Вектор эксплуатации: | Удаленная |
Воздействие: | Межсайтовый скриптинг |
CWE ID: | Нет данных |
Наличие эксплоита: | Нет данных |
Уязвимые продукты: | Sawmill 7.x |
Описание: | Когда Sawmill запущен, и пользователь вводит начальный пароль, пароль сохраняется в файле AdminPassword. Этот файл созданн в 0666 режиме (возможность чтения/записи). Причем это происходит независимо от установки password_file_permissions в файле DefaultConfig, который по умолчанию установлен на режим 0600.
Заданный по умолчанию путь к файлу AdminPassword доступен для пользователей. Каталог LogAnalysisInfo – созданн в режиме 0755. Содержание AdminPassword файла – закодировано MD5. Тривиально переписать поверх этого значения с любым выбранным паролем: "rm AdminPassword; echo mypasswd | perl -p -e 'chomp' | md5sum | \ | sed 's/ -//' | perl -p -e 'chomp' > AdminPassword" Уязвимость найдена в Sawmill 6.2.14 |
Ссылки: | Источник |