0day.today - Ce-a mai mare baze de date de exploit-uri din lume.

Selectează limba ta:

Lucrui care ar trebui să le ști despre noi:

Folosim un singur domeniu DOMAIN_LINK

Dacă dorești să cumperi un exploit sau să platești pentru un serviciu, trebuie să cumperi Gold.

We accept currencies: [contact admin to find more]

Nu dormim să folosim site-ul pentru scopuri informatice negative (hacking), prin urmare orice tip de acțiune de hacking care poate afecta ilegal alți utilizatori sau pagini web la care nu ești proprietar va fi pedepsită cu blocarea contului permanentă incluzand distrugerea datelor tale care aparțin de cont.

Administrația acestui website folosește adresele oficiale de contact. Atenție la impostori!

We DO NOT use Telegram or any messengers / social networks!
Please, beware of scammers!

Sunt utilizator înregistrat al site-ului 0day.today. Nu doresc să vad această fereastră din nou.

Ce trebuie să faceți mai întâi?

Citiți [ acordul ]
Citiți [ trimite ] reguli
Vizitați [ Întrebări frecvente. ] pagină
[ Înregistrare ] profil
Obține [ GOLD ]
Dacă dorești să [ vinzi ]
Dacă dorești să [ cumperi ]
Dacă ați pierdut [ cont-ul vizitați această pagină. ]
Orice întrebări [ [email protected] ]

Link-uri principale

Ne puteți contacta prin

Mail:

[email protected]

Facebook:

Inj3ct0rs

Twitter:

Inj3ct0r

Telegram:

We DO NOT use Telegram or any messengers / social networks!

[ autentificare ] [ înregistrare ] [ Restabilire ]

Ne puteți contacta prin:

Mail:

[email protected]

Facebook:

Inj3ct0rs

Twitter:

Inj3ct0r

Telegram:

We DO NOT use Telegram or any messengers / social networks!

Froxlor Server Management Panel 0.9.33.1 - MySQL Login Information Disclosure

Autor

Dustin Dörr

Risc

[

Nivel de securitate mediu

]

0day-ID

Categorie

Data

Platformă

#------------------------------------------------------------------------------------------#
# Exploit Title: Froxlor Server Management Panel - MySQL Login Information Disclosure      #
# Date: Jul 30 2015                                                                        #
# Exploit Author: Dustin Dörr                                                              #
# Vendor Homepage: https://www.froxlor.org/                                                #
# Version: <= 0.9.33.1                                                                     #
#------------------------------------------------------------------------------------------#
 
An unauthenticated remote attacker is able to get the Froxlor MySQL password and username 
via webaccess due to wrong file permissions of the /logs/ folder in Froxlor version
0.9.33.1 and earlier. The plain MySQL password and username may be stored in the
/logs/sql-error.log file. This directory is publicly reachable by default.
 
some default URLs are:
 
- http://example.com/froxlor/logs/sql-error.log
- http://cp.example.com/logs/sql-error.log
- http://froxlor.example.com/logs/sql-error.log
 
the certain section looks like this:
 
/var/www/froxlor/lib/classes/database/class.Database.php(279):
PDO->__construct('mysql:host=127....', 'DATABASE_USER', 'DATABASE_PASSWORD', Array)
 
please note that the password in the logfile is truncated to 15 chars,
therefore passwords longer than 15 chars are not fully visible to an attacker.

#  0day.today [2024-07-04]  #

We DO NOT use Telegram or any messengers / social networks!

Please, beware of scammers!

Froxlor Server Management Panel 0.9.33.1 - MySQL Login Information Disclosure

Rortează o eroare

Rortează o eroare