Katalog CVE

CVE-2019-25709

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Skrypt hostingu obrazów CF w wersji 1.6.5 pozwala nieautoryzowanym atakującym na pobranie i dekodowanie bazy danych aplikacji poprzez dostęp do pliku imgdb.db w katalogu upload/data. Atakujący mogą wydobyć identyfikatory usuniętych obrazów przechowywane w postaci tekstu jawnego z deserializowanej bazy danych.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do usunięcia wszystkich obrazów, co prowadzi do utraty danych i potencjalnych strat finansowych dla organizacji. Brak odpowiednich zabezpieczeń może również wpłynąć na reputację firmy.

Rekomendacja

Zaleca się zabezpieczenie dostępu do pliku imgdb.db oraz wprowadzenie autoryzacji dla operacji na bazie danych. Należy również rozważyć szyfrowanie wrażliwych danych przechowywanych w bazie.

Oryginalny opis (angielski, źródło NVD)

CF Image Hosting Script 1.6.5 allows unauthenticated attackers to download and decode the application database by accessing the imgdb.db file in the upload/data directory. Attackers can extract delete IDs stored in plaintext from the deserialized database and use them to delete all pictures via the d parameter.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS