Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en E-WEBInformationCo. FS-EZViewer(Web (CVE-2024-4300)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
29/04/2024
Última modificación:
29/04/2024

Descripción

E-WEBInformationCo. FS-EZViewer(Web) expone información confidencial en el servicio. Un atacante remoto puede obtener la ruta del archivo de configuración de la base de datos a través del código fuente de la página web sin iniciar sesión. Acceder a esta ruta permite al atacante obtener la credencial de la base de datos con el mayor privilegio y la dirección IP del host de la base de datos. Con esta información, los atacantes pueden conectarse a la base de datos y realizar acciones como agregar, modificar o eliminar contenidos de la base de datos.

Referencias a soluciones, herramientas e información