Security Lab

Раскрытие чувствительной информации в IBM Net.Data

Дата публикации:10.01.2003
Всего просмотров:871
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Net.Data – простой язык сценария, который позволяет легко создавать Web приложения. Уязвимость защиты в программе позволяет нападающему рассматривать значения внутренних переменных, которые могут раскрыть чувствительную информацию типа имен пути, сервера, пользователя и паролей.

Уязвимость может эксплуатироваться в HTML форме, которая отображает введенные пользователям данные, представленные в виде имени переменной. Некоторые переменные, определенные в Net.Data, потенциально опасны. Например $(DTW_CURRENT_FILENAME) показывает внутреннее имя сценария и полный путь к нему. Если сервер базы данных отличен от сервера приложений, то переменные $(DATABASE) , $(LOGIN) и $(PASSWORD) определены и содержат параметры подключения к серверу. О других предопределенных переменных можно узнать отсюда :

http://www-3.ibm.com/software/data/net.data/docs/noframes/db2rn/index.htm

Проблема не ограничена предопределенными переменными. Может быть отображена любая переменная, имя которой вы знаете.

Ссылки: IBM Net.Data Internal Variables Display Vulnerability