eZ Publish settings/site.ini 配置泄露

medium Nessus 插件 ID 11538

语言:

简介

远程主机上的 Web 应用程序存在信息泄露漏洞。

描述

远程主机上安装了内容管理系统 eZ Publish。

远程攻击者可以检索文件“settings/site.ini”,该文件包含数据库名称、用户名和密码等信息。
这些信息可用于发起进一步攻击。

此 eZ Publish 版本还存在多个跨站脚本漏洞,但 Nessus 未对这些漏洞进行检查。

解决方案

阻止从 Web 服务器下载 .ini 文件。

另见

https://seclists.org/bugtraq/2003/Apr/208

插件详情

严重性: Medium

ID: 11538

文件名: ezpublish_config_disclosure.nasl

版本: 1.22

类型: remote

系列: CGI abuses

发布时间: 2003/4/15

最近更新时间: 2021/1/19

支持的传感器: Nessus

漏洞信息

排除的 KB 项: Settings/disable_cgi_scanning

可利用: true

易利用性: No exploit is required

漏洞发布日期: 2003/4/15

参考资料信息

BID: 7347

Secunia: 8606