Um die Bevölkerung zu motivieren, sich auch während des Lockdowns sportlich zu betätigen, wurden mehrere Projekte ins Leben gerufen.
CVE-2019-9734: Password Leakage im Aquarius CMS
In einigen Versionen des Aquarius CMS (Versions & Konfigurationsabhängig) fehlt ein Teil des Backends. Das Fehlen dieses Komponenten führt dazu, dass in der Logdatei (siehe CVE-2019-9724) durch eine standardmässig aktivierte Debuggingfunktion der Benutzername und das Passwort in der Logdatei gespeichert wird. Diese Daten können dann zur Anmeldung im Backend verwendet werden.
Produkt:
Aquarius CMS
Hersteller:
Aquaverde GmbH
Version:
Abhängig von der Installation
CVE:
CVE-2019-9734
CWE:
CWE-532
Typ:
Information Exposure Through Log Files
Pfad zur Logdatei:
_MAIN_DIR/_aquarius/cache/log.txt
Entdeckt am:
1 März 2019
Entdecker:
Mauro Sbicego
Fix:
https://github.com/aquaverde/aquarius-core/pull/12
-
Tags:
- Aquarius ,
- Sicherheitslücke
-
Rubrik:
- Sicherheitslücken
News und andere interessante Sachen.
Blog.
Auf unserem Blog finden Sie interessante Artikel über von uns gefundene Sicherheitslücken, aktuelle Themen, Neuigkeiten und weiteres
Info! Bei diesem Artikel handelt es sich um ein Write-Up einer gefundenen Schwachstelle.
Auf den Onlineshops der Digitec Galaxus AG befand sich eine Schwachstelle, die es ermöglichte, den vollen Namen eines beliebigen Kunden abzufragen.