一、 漏洞 CVE-2006-6974 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Headstart Solutions DeskPRO 在Web根目录下没有足够的访问控制,这允许远程攻击者(1)列出包含/目录中的文件;通过直接请求包含/中的config.php和config.php.bak获取SQL用户名和密码;通过直接请求包含/电子邮件/、包含/admin/ graphs/、包含/includes/javascript/和其他包含/目录读取文件;通过直接请求包含/数据.sql、包含/安装.sql、包含/设置.sql以及可能的其他文件下载SQL数据库数据。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Headstart Solutions DeskPRO stores sensitive information under the web root with insufficient access control, which allows remote attackers to (1) list files in the includes/ directory; obtain the SQL username and password via a direct request for (2) config.php and (3) config.php.bak in includes/; read files in (4) email/, (5) admin/graphs/, (6) includes/javascript/, and (7) certain other includes/ directories via direct requests; and download SQL database data via direct requests for (8) data.sql, (9) install.sql, (10) settings.sql, and possibly other files in install/v2data/.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Headstart Solutions DeskPRO 网根敏感信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Headstart Solutions DeskPRO在网根中储存敏感信息,但没有赋予足够的访问控制,这会允许远程攻击者(1)列出在includes/目录中的文件;可以借助对includes/中的(2)config.php和(3)config.php.bak的一个直接请求来获得SQL用户名和密码;可以借助提交直接的请求,读取在(4)email/,(5)admin/graphs/,(6)includes/javascript/,和(7)某些其它的includes/目录中的文件; 可以借助对(8)data.s
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2006-6974 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2006-6974 的情报信息