一、 漏洞 CVE-2014-2579 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在XCloner standalone 3.5及更早版本中,存在多个跨站点请求伪造(CSRF)漏洞,允许远程攻击者篡改管理员身份验证,针对以下请求进行:(1)通过config任务将管理员密码更改为index2.php;或(2)当启用enable_db_backup和sql_mem选项时,通过生成 action中的dbbackup_comp参数访问数据库备份功能至index2.php。请注意:vector 2可能是CVE-2014-2340的副本,该漏洞针对XCloner Wordpress插件。请注意:远程攻击者可以利用vector 2执行任意命令。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Multiple cross-site request forgery (CSRF) vulnerabilities in XCloner Standalone 3.5 and earlier allow remote attackers to hijack the authentication of administrators for requests that (1) change the administrator password via the config task to index2.php or (2) when the enable_db_backup and sql_mem options are enabled, access the database backup functionality via the dbbackup_comp parameter in the generate action to index2.php. NOTE: vector 2 might be a duplicate of CVE-2014-2340, which is for the XCloner Wordpress plugin. NOTE: remote attackers can leverage CVE-2014-2996 with vector 2 to execute arbitrary commands.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
XCloner Standalone 跨站请求伪造漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
XCloner Standalone是罗马尼亚XCloner公司的一套备份和恢复软件。该软件对网站提供了备份和恢复功能。 XCloner Standalone 3.5及之前的版本中存在跨站请求伪造漏洞。远程攻击者可利用该漏洞通过向index2.php脚本发送配置任务请求,更改管理员密码或当开启enable_db_backup和sql_mem选项时,通过向index2.php脚本传递‘dbbackup_comp’参数并执行‘generate’操作,访问数据库备份功能。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站请求伪造
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2014-2579 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2014-2579 的情报信息