Несколько уязвимостей в VP-ASP
| Дата публикации: | 29.05.2002 |
| Всего просмотров: | 1264 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | VP-ASP – система разработки сайтов для электронной коммерции. 1. Раскрытие пути Диагностический сценарий shopdbtest.asp, доступный любому пользователю, позволяет раскрыть местоположение базы данных внутри значения xDatabase. 2. Небезопасные разрешения в файле конфигурации В установку по умолчанию, файлы конфигурации shopping400.mdb/shopping300.mdb доступны через интернет. В файлах содержится все данные конфигурации, включая детали о пользователях и их кредитных карточках в незашифрованном виде. 3. SQL Injection По умолчанию устанавливается пароль администратора vpasp/vpasp или admin/admin. На многих Web сайтах этот пароль не изменяют. Также возможно обойти идентификацию имени пользователя и пароля, вводя следующие значения в поле имени и пароля: 'or''=' в сценарии shopadmin.asp. Уязвимость обнаружена в VP-ASP 4.0 |
| Ссылки: | VP-ASP Multiple Security Vulnerabilities |