[ForestQ]

Раскрытие информации в vBulletin в сценарии backup.php30 августа, 2005

Программа: vBulletin 3.0

Опасность: Низкая

Наличие эксплоита: Нет

Описание:
Уязвимость позволяет удаленному пользователю получить доступ к резервным копиям форума.

Уязвимость существует в сценарии backup.php, который создает незащищенную паролем и не шифрованную резервную копию базы данных. Ели администратор во время резервного копирования помещает файл в каталог форума, удаленный пользователь может скачать его, угадав имя файла. URL производителя: www.vbulletin.com Решение: Способов устранения уязвимости не существует в настоящее время.




http://www.securitylab.ru/vulnerability/239881.php

а я скрипт переписал так, чтобы он кидал этот бэкап в запароленую дирректорию. теперь у меня для скачивания требуется http-аутефикация... через попу, но работает. ну как вам мой способ? имхо это каждый может сделать, к кого правильно растут руки

[Razorz]

Может ламерский вопрос - но чем грозит скачивание бэкапа посторонними людьми?
Просто получение информации (возможно с закрытых форумов?)

[sequence]

а так же гипотетическая возможность расшифровки всех паролей...