漏洞标题
N/A
漏洞描述信息
Headstart Solutions DeskPRO 的某些文件和目录与 administrative 活动无关,因此无需身份验证,这允许远程攻击者(1)通过直接请求 install/index.php 重新安装应用程序;(2)通过 do=delete_database QUERY_STRING 向重命名的 install/index.php 删除数据库;或(3)通过直接请求 admin/或 tech/ 中的文件来访问管理系统,在猜测文件名后。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Headstart Solutions DeskPRO does not require authentication for certain files and directories associated with administrative activities, which allows remote attackers to (1) reinstall the application via a direct request for install/index.php; (2) delete the database via a do=delete_database QUERY_STRING to a renamed copy of install/index.php; or access the administration system, after guessing a filename, via a direct request for a file in (3) admin/ or (4) tech/.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Headstart Solutions DeskPRO 文件管理权限漏洞
漏洞描述信息
Headstart Solutions DeskPRO没有要求对与管理活动相关的某些文件和目录的管理权,这会允许远程攻击者可以借助一个对install/index.php的直接请求,(1)重新安装应用程序的直接请求;(2)可以借助对install/index.php的一个重命名的复制的do=delete_database QUERY_STRING,删除任意数据库;或可以借助对(3)admin/或(4)tech/的文件的一个直接请求,在猜出一个文件名后访问管理系统。
CVSS信息
N/A
漏洞类别
授权问题