簡單的 PHP Blog config/users.php 任意使用者密碼雜湊洩漏
medium Nessus Plugin ID 34110
語系:
概要
遠端 Web 伺服器包含一個受到資訊洩漏弱點影響的 PHP 應用程式。說明
遠端主機上安裝的 Simple PHP Blog 版本允許未經驗證的遠端攻擊者擷取有關應用程式定義之非管理員使用者的資訊,包括其使用者名稱和密碼雜湊,進而可用來取得應用程式的存取權。雖然這些使用者沒有應用程式的管理存取權,但其可以管理註解、刪除部落格項目或編輯項目。雖然 Nessus 尚未測試此問題,但他們也可能利用涉及上傳「表情符號」的弱點執行任意程式碼。
解決方案
目前尚未知。Plugin 詳細資訊
嚴重性: Medium
ID: 34110
檔案名稱: sphpblog_users_disclosure.nasl
版本: 1.17
類型: remote
系列: CGI abuses
已發布: 2008/9/8
已更新: 2022/6/1
組態: 啟用徹底檢查
支援的感應器: Nessus
弱點資訊
必要的 KB 項目: www/sphpblog
排除在外的 KB 項目: Settings/disable_cgi_scanning
可被惡意程式利用: true
可輕鬆利用: Exploits are available
由 Nessus 利用: true
參考資訊
BID: 30857