Раскрытие чувствительной информации в IBM Net.Data
| Дата публикации: | 10.01.2003 |
| Всего просмотров: | 835 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Net.Data – простой язык сценария, который позволяет легко создавать Web приложения. Уязвимость защиты в программе позволяет нападающему рассматривать значения внутренних переменных, которые могут раскрыть чувствительную информацию типа имен пути, сервера, пользователя и паролей. Уязвимость может эксплуатироваться в HTML форме, которая отображает введенные пользователям данные, представленные в виде имени переменной. Некоторые переменные, определенные в Net.Data, потенциально опасны. Например $(DTW_CURRENT_FILENAME) показывает внутреннее имя сценария и полный путь к нему. Если сервер базы данных отличен от сервера приложений, то переменные $(DATABASE) , $(LOGIN) и $(PASSWORD) определены и содержат параметры подключения к серверу. О других предопределенных переменных можно узнать отсюда : http://www-3.ibm.com/software/data/net.data/docs/noframes/db2rn/index.htm Проблема не ограничена предопределенными переменными. Может быть отображена любая переменная, имя которой вы знаете. |
| Ссылки: | IBM Net.Data Internal Variables Display Vulnerability |