CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2019-25709

Critical
Published: Translated: NVD NIST

Summary

Skrypt hostingu obrazów CF w wersji 1.6.5 pozwala nieautoryzowanym atakującym na pobranie i dekodowanie bazy danych aplikacji poprzez dostęp do pliku imgdb.db w katalogu upload/data. Atakujący mogą wydobyć identyfikatory usuniętych obrazów przechowywane w postaci tekstu jawnego z deserializowanej bazy danych.

Risk Assessment

Atakujący mogą wykorzystać tę podatność do usunięcia wszystkich obrazów, co prowadzi do utraty danych i potencjalnych strat finansowych dla organizacji. Brak odpowiednich zabezpieczeń może również wpłynąć na reputację firmy.

Recommendation

Zaleca się zabezpieczenie dostępu do pliku imgdb.db oraz wprowadzenie autoryzacji dla operacji na bazie danych. Należy również rozważyć szyfrowanie wrażliwych danych przechowywanych w bazie.

Original NVD description (English source)

CF Image Hosting Script 1.6.5 allows unauthenticated attackers to download and decode the application database by accessing the imgdb.db file in the upload/data directory. Attackers can extract delete IDs stored in plaintext from the deserialized database and use them to delete all pictures via the d parameter.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS