webERP 4.15.1 содержит уязвимость доступа к файлам без аутентификации, которая позволяет удаленным злоумышленникам загружать файлы резервной копии базы данных без аутентификации. Злоумышленники могут напрямую получить доступ к созданным файлам резервных копий в каталоге Companies/weberp/, запросив файл Backup_[timestamp].sql.gz.
Показать оригинальное описание (EN)
webERP 4.15.1 contains an unauthenticated file access vulnerability that allows remote attackers to download database backup files without authentication. Attackers can directly access generated backup files in the companies/weberp/ directory by requesting the Backup_[timestamp].sql.gz file.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0