Zwei Überwachungskameras

CVE-2019-9734: Password Leakage im Aquarius CMS

In einigen Versionen des Aquarius CMS (Versions & Konfigurationsabhängig) fehlt ein Teil des Backends. Das Fehlen dieses Komponenten führt dazu, dass in der Logdatei (siehe CVE-2019-9724) durch eine standardmässig aktivierte Debuggingfunktion der Benutzername und das Passwort in der Logdatei gespeichert wird. Diese Daten können dann zur Anmeldung im Backend verwendet werden.


Produkt:

Aquarius CMS

Hersteller:

Aquaverde GmbH

Version:

Abhängig von der Installation

CVE:

CVE-2019-9734

CWE:

CWE-532

Typ:

Information Exposure Through Log Files

Pfad zur Logdatei:

_MAIN_DIR/_aquarius/cache/log.txt

Entdeckt am:

1 März 2019

Entdecker:

Mauro Sbicego

Fix:

https://github.com/aquaverde/aquarius-core/pull/12