Changer l'apparence
Alertes: CitrusDB 0.x
Impact(s) : Révélation d'informations sensibles
Solution : Patch du fournisseur
Exploit : Disponible
ZATAZ ID : ASZ-2005-337
Localisation(s) : Distante
Date de découverte : 13.02.2005
Un internaute malveillant pourrait obtenir des informations sensibles par le biais de cette vulnérabilité.
Description de la part du fournisseur :
"CitrusDB est une application de base de donnée open source qui utilise PHP et MySQL pour suivre les informations client, services, produits, facturation."
CitrusDB utilise un fichier texte pour stoquer temporairement les informations des cartes de crédits. Ce fichier est situé dans la racine web et accessible par une URL statique. Ce fichier n'est pas supprimé après une opération.
L'URL du fichier texte "/chemin access CitrusDB/io/newfile.txt" est déclaré dans les fichiers "tools/uploadcc.php" et "tools/importcc/php". Le chemin d'accès a CitrusDB est connu par une simple navigation internet, d'où que le fichier texte "newfile.txt" est accessible et permet d'accéder à des informations sensibles par le biais d'une simple navigation.
Interdire l'acès à ce fichier par des règles d'accès au niveau du serveur web, ou changer CitrusDB pour utiliser un fichier qui est en dehors de la racine web.
Mettre à jour CitrusDB vers la version 0.3.6 ou plus, et modifier le chemin d'accès de configuration de ce fichier "$path_to_ccfile" pour que ce fichier ne soit pas accessible par le web.
Veuillez noter que les informations diffusées par ZATAZ.net dans le cadre de sa rubrique Alertes ont comme
provenance des parties tierces.
ZATAZ.net collecte, valide et vérifie les vulnérabilités diffusées par les fournisseurs, groupes de recherches
spécialisés dans la sécurité informatique, etc.
Si vous désirez nous envoyer des alertes de sécurité que vous avez découvertes, contactez-nous sur alertes@zataz.net