Web-ERP配置文件远程访问漏洞

gangdan1982

发布日期：2003-03-01
更新日期：2003-03-06

受影响系统：
Web-ERP Web-ERP 0.1.4
不受影响系统：
Web-ERP Web-ERP 0.1.5
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 6996

WEB-ERP是一款基于WEB的企业资源计划软件。

WEB-ERP没有充分限制用户对配置文件的访问，远程攻击者可以利用这个漏洞获得系统敏感信息。

WEB-ERP的配置文件logicworks.ini包含了应用程序使用的MySQL用户名和密码，这个文件系统没有任何访问限制，任意攻击者可以通过访问此文件获得这些敏感信息，利用这些信息可以对数据库进行恶意操作。

<*来源：Ryan Fox （rfox@amerisuk.com）

链接：http://marc.theaimsgroup.com/?l=bugtraq&amp;m=104664078208229&w=2
*>

测试方法：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Ryan Fox （rfox@amerisuk.com）提供了如下测试方法：

---*---
http://server/logicworks.ini
---*---

建议：
--------------------------------------------------------------------------------
厂商补丁：

Web-ERP
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://web-erp.sourceforge.net