PHP-Fusion Databaseのバックアップの漏洩
medium Nessus プラグイン ID 14356
Language:
概要
リモートWebサーバーは、情報漏洩の攻撃の影響を受けるPHPアプリケーションをホストしています。説明
リモートバージョンのPHP-Fusionに脆弱性があるため、攻撃者がリモートデータベースのダンプを取得する可能性があります。PHP-Fusionには、データベースバックアップを作成し、それをWebサーバーの「/fusion_admin/db_backups/」ディレクトリに保存する機能があります。そのディレクトリにはアクセスコントロールがないため、攻撃者がバックアップデータベースの名前を推測してダウンロードする可能性があります。ソリューション
.htaccessファイルか同等のファイルを使用して、バックアップディレクトリ内のファイルへのアクセスを制御してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 14356
ファイル名: php_fusion_db_backup_disclosure.nasl
バージョン: 1.22
タイプ: remote
ファミリー: CGI abuses
公開日: 2004/8/23
更新日: 2022/4/11
設定: 徹底したチェックを有効にする
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: cpe:/a:php_fusion:php_fusion
必要な KB アイテム: www/PHP, www/php_fusion
除外される KB アイテム: Settings/disable_cgi_scanning
エクスプロイトの容易さ: No exploit is required
脆弱性公開日: 2004/8/17
参照情報
CVE: CVE-2004-1724
BID: 10974