Zwei Überwachungskameras

CVE-2019-9724: Information Disclosure im Aquarius CMS

In allen Versionen des Aquarius CMS der Firma Aquaverde GmbH aus Biel befindet sich eine Sicherheitslücke die es ermöglicht, die vom Webserver gesendeten Mails einzusehen. Namentlich handelt es sich um Kontaktformulardaten, Bestellungen im Shop oder Password-Reset-Links. Die zwei ersteren führen zu einem Verlust von Kundendaten, der letzte Mail-Typ ermöglicht es jedoch, ein Konto zum Intranet zu übernehmen, da sich der Password-Reset-Link abgreifen lässt.


Produkt:

Aquarius CMS

Hersteller:

Aquaverde GmbH

Version:

Bis und mit v4.3.5

CVE:

CVE-2019-9724

CWE:

CWE-532

Typ:

Information Exposure Through Log Files

Pfad zur Logdatei:

_MAIN_DIR/_aquarius/cache/log.txt

Entdeckt am:

1 März 2019

Entdecker:

Mauro Sbicego

Fix:

https://github.com/aquaverde/aquarius-core/pull/13

Workaround:

Dateien und Ordner auf einer Website sperren

Das Problem lässt sich entweder durch sperren oder deaktivieren (und löschen) der Logdatei beheben.