CVE-2019-25709
CriticalSummary
Skrypt hostingu obrazów CF w wersji 1.6.5 pozwala nieautoryzowanym atakującym na pobranie i dekodowanie bazy danych aplikacji poprzez dostęp do pliku imgdb.db w katalogu upload/data. Atakujący mogą wydobyć identyfikatory usuniętych obrazów przechowywane w postaci tekstu jawnego z deserializowanej bazy danych.
Risk Assessment
Atakujący mogą wykorzystać tę podatność do usunięcia wszystkich obrazów, co prowadzi do utraty danych i potencjalnych strat finansowych dla organizacji. Brak odpowiednich zabezpieczeń może również wpłynąć na reputację firmy.
Recommendation
Zaleca się zabezpieczenie dostępu do pliku imgdb.db oraz wprowadzenie autoryzacji dla operacji na bazie danych. Należy również rozważyć szyfrowanie wrażliwych danych przechowywanych w bazie.
Original NVD description (English source)
CF Image Hosting Script 1.6.5 allows unauthenticated attackers to download and decode the application database by accessing the imgdb.db file in the upload/data directory. Attackers can extract delete IDs stored in plaintext from the deserialized database and use them to delete all pictures via the d parameter.

