Se han reportado varias vulnerabilidades en el sitio web de la Clínica Vespucio. Los fallos son del tipo Full Path Disclosure, Cross Site Scripting y SQL Injection. Las más peligrosa es la última mencionada, ya que el usuario de conexión a la base de datos es root. La prueba de concepto que se ha elaborado […]
Se han reportado varias vulnerabilidades en el sitio web de la Clínica Vespucio. Los fallos son del tipo Full Path Disclosure, Cross Site Scripting y SQL Injection. Las más peligrosa es la última mencionada, ya que el usuario de conexión a la base de datos es root. La prueba de concepto que se ha elaborado permite ver la versión del servicio MySQL, nombre de la base de datos y usuario de conexión:
Las vulnerabilidades corresponden a las siguientes:
Al menos 5 vulnerabilidades se han reportado sobre el sitio web de Clínica Portada, la mayoría a SQL Injection. En las pruebas de concepto realizadas se puede obtener información sobre la base de datos como el usuario de conexión, nombre de la base de datos y versión del motor. El atacante podría explotar las vulnerabilidades […]
Vinylmusix es un sitio dedicado a la venta de material musical, el cual presenta una falla de seguridad categorizada -en secureless- como Data Leak, ya que deja disponible para cualquier usuario el directorio de sus respaldos. El directorio backup/ es un subdirectorio de admin/, aparentemente tambien se trata de un Auth Bypass, al poder […]