漏洞标题
N/A
漏洞描述信息
## 漏洞概述
Siteman 2.0.x2 将敏感信息存储在 Web 根目录下,且访问控制不足,导致远程攻击者可以通过直接请求 `db/siteman/users.MYD` 下载包含密码哈希的数据库。
## 影响版本
Siteman 2.0.x2
## 漏洞细节
Siteman 2.0.x2 将敏感信息存放在 Web 根目录下,缺乏适当的访问控制。攻击者能够通过发送直接请求至 `db/siteman/users.MYD`,下载该文件并获取包含密码哈希的数据库。
## 影响
远程攻击者可以下载数据库文件 `users.MYD`,从中提取密码哈希,进而尝试破解这些哈希值以获取用户的密码。这可能导致用户数据泄露和账户被非法访问的风险。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Siteman 2.0.x2 stores sensitive information under the web root with insufficient access control, which allows remote attackers to download a database containing password hashes via a direct request for db/siteman/users.MYD.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Siteman 'users.MYD' 远程敏感信息泄露漏洞
漏洞描述信息
Siteman 2.0.x2在网根中储存敏感信息,但没有赋予足够的访问控制。远程攻击者可以借助对db/siteman/users.MYD的一个直接请求来下载包含密码文件的数据库。
CVSS信息
N/A
漏洞类别
授权问题