Tryption.ch

Pentesting & Consulting

CVE-2019-9734: Password Leakage im Aquarius CMS


In einigen Versionen des Aquarius CMS (Versions & Konfigurationsabhängig) fehlt ein Teil des Backends. Das Fehlen dieses Komponenten führt dazu, dass in der Logdatei (siehe CVE-2019-9724) durch eine standardmässig aktivierte Debuggingfunktion der Benutzername und das Passwort in der Logdatei gespeichert wird. Diese Daten können dann zur Anmeldung im Backend verwendet werden.


Produkt:Aquarius CMS
Hersteller:Aquaverde GmbH
Version:Abhängig von der Installation
CVE:
CVE-2019-9734
CWE:CWE-532
Typ:
Information Exposure Through Log Files
Pfad zur Logdatei:MAIN_DIR/aquarius/cache/log.txt
Entdeckt am:1 März 2019
Entdecker:Mauro Sbicego
Fix:https://github.com/aquaverde/aquarius-core/pull/12

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.