Tryption.ch

Pentesting & Consulting

CVE-2019-9724: Information Disclosure im Aquarius CMS

In allen Versionen des Aquarius CMS der Firma Aquaverde GmbH aus Biel befindet sich eine Sicherheitslücke die es ermöglicht, die vom Webserver gesendeten Mails einzusehen. Namentlich handelt es sich um Kontaktformulardaten, Bestellungen im Shop oder Password-Reset-Links. Die zwei ersteren führen zu einem Verlust von Kundendaten, der letzte Mail-Typ ermöglicht es jedoch, ein Konto zum Intranet zu übernehmen, da sich der Password-Reset-Link abgreifen lässt.


Produkt:Aquarius CMS
Hersteller:Aquaverde GmbH
Version:Bis und mit v4.3.5
CVE:
CVE-2019-9724
CWE:CWE-532
Typ:
Information Exposure Through Log Files
Pfad zur Logdatei:MAIN_DIR/aquarius/cache/log.txt
Entdeckt am:1 März 2019
Entdecker:Mauro Sbicego
Fix:https://github.com/aquaverde/aquarius-core/pull/13
Workaround:Dateien und Ordner auf einer Website sperren

Das Problem lässt sich entweder durch sperren oder deaktivieren (und löschen) der Logdatei beheben.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.