Multiples vulnerabilidades en sitio web de la Clínica Vespucio
marzo 6, 2012Se han reportado varias vulnerabilidades en el sitio web de la Clínica Vespucio. Los fallos son del tipo Full Path Disclosure, Cross Site Scripting y SQL Injection. Las más peligrosa es la última mencionada, ya que el usuario de conexión a la base de datos es root. La prueba de concepto que se ha elaborado […]
Se han reportado varias vulnerabilidades en el sitio web de la Clínica Vespucio. Los fallos son del tipo Full Path Disclosure, Cross Site Scripting y SQL Injection. Las más peligrosa es la última mencionada, ya que el usuario de conexión a la base de datos es root. La prueba de concepto que se ha elaborado permite ver la versión del servicio MySQL, nombre de la base de datos y usuario de conexión:
Las vulnerabilidades corresponden a las siguientes:
- SQL Injection: #2267, #2268, #2269, #2271, #2275
- Cross-Site Scripting: #2274
- Full Path Disclosure: #2272
Artículos relacionados
Vulnerabilidades en el sitio web de Clínica Portada
4 de marzo de 2012Al menos 5 vulnerabilidades se han reportado sobre el sitio web de Clínica Portada, la mayoría a SQL Injection. En las pruebas de concepto realizadas se puede obtener información sobre la base de datos como el usuario de conexión, nombre de la base de datos y versión del motor. El atacante podría explotar las vulnerabilidades […]
Vinylmusix – Expone sus backups al publico
6 de marzo de 2012Vinylmusix es un sitio dedicado a la venta de material musical, el cual presenta una falla de seguridad categorizada -en secureless- como Data Leak, ya que deja disponible para cualquier usuario el directorio de sus respaldos. El directorio backup/ es un subdirectorio de admin/, aparentemente tambien se trata de un Auth Bypass, al poder […]
