PT-2020-7787 · Cmfive · Cmfive
Eldar Marcussen
+1
·
Publicado
2020-06-01
·
Atualizado
2020-06-04
·
CVE-2014-9702
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:N/A:N |
**Nome do software vulnerável e versões afetadas:
Versões do Cmfive até 15/03/2015
Descrição:
A vulnerabilidade permite que invasores remotos obtenham informações confidenciais, incluindo nomes de usuário e senhas, por meio de qualquer solicitação — como uma solicitação de redefinição de senha — quando ocorre uma falha na conectividade com o banco de dados. Isso ocorre devido a um problema no arquivo system/classes/DbPDO.php.
Recomendações:
Para versões até 15/03/2015, como solução temporária, considere restringir o acesso ao arquivo
DbPDO.php até que um patch esteja disponível. Evite usar o arquivo system/classes/DbPDO.php em solicitações que possam levar a falhas na conectividade do banco de dados.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cmfive