[翻译]PHP-Blogger Disclosure of Sensitive Information Security Issue

本文作者： 剑心[B.C.T]
文章出处： 原创翻译 http://www.bnso.net
阅读次数： 17
发布日期： 2004-12-25
漏洞来源:http://secunia.com/advisories/13665/
发布日期:2004-12-24
危险等级:中
利用方式:远程提交
软件版本:PHP-Blogger 1.x

漏洞描述:
snilabs在PHP-Blogger中发现了一个漏洞，该漏洞可能利用来泄露敏感信息。
问题在于数据库文件默认放在网站根目录下并且没有正确的防止直接被请求访问。这将被用来得到管理员密码。
补充:运行在apache下面支持.htaccess文件的系统不受影响。
解决办法:正确配置数据库的访问，将他放置到非web目录。

漏洞发现者:snilabs