漏洞标题
N/A
漏洞描述信息
"MySQLDumper 1.24.4中的多个跨站请求伪造(CSRF)漏洞允许远程攻击者劫持管理员的认证,对于以下请求(1)通过删除htaccess action删除文件访问限制,(2)通过db action中的kill值删除数据库,(3)通过phase参数的101值卸载应用程序,(4)通过phase参数的2值删除config.php,(5)通过schutz action更改密码,或(6)通过sql_statement参数执行任意SQL命令,以学习/cubemail/sql.php为目标。"
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site request forgery (CSRF) vulnerabilities in MySQLDumper 1.24.4 allow remote attackers to hijack the authentication of administrators for requests that (1) remove file access restriction via a deletehtaccess action, (2) drop a database via a kill value in a db action, (3) uninstall the application via a 101 value in the phase parameter to learn/cubemail/install.php, (4) delete config.php via a 2 value in the phase parameter to learn/cubemail/install.php, (5) change a password via a schutz action, or (6) execute arbitrary SQL commands via the sql_statement parameter to learn/cubemail/sql.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
MySQLDumper 多个跨站请求伪造漏洞
漏洞描述信息
MySQLDumper是用PHP和Perl编写的MySQL数据库备份脚本。 MySQLDumper 1.24.4版本中存在多个跨站请求伪造(CSRF)漏洞。远程攻击者可利用这些漏洞(1)通过deletehtaccess操作删除文件访问限制(2)db操作中的kill值删除数据库(3)通过传送到learn/cubemail/install.php脚本中的phase参数中的101值卸载应用程序的请求劫持管理认证。
CVSS信息
N/A
漏洞类别
跨站请求伪造