Vulnerabilities > CVE-2011-1906 - Credentials Management vulnerability in Trustwave Webdefend 2.0/3.0
Attack vector
NETWORK Attack complexity
LOW Privileges required
NONE Confidentiality impact
PARTIAL Integrity impact
NONE Availability impact
NONE Summary
Trustwave WebDefend Enterprise before 5.0 7.01.903-1.4 stores specific user-account credentials in a MySQL database, which makes it easier for remote attackers to read the event collection table via requests to the management port, a different vulnerability than CVE-2011-0756.
Vulnerable Configurations
| Part | Description | Count |
|---|---|---|
| Hardware | 3 |
Common Weakness Enumeration (CWE)
Seebug
| bulletinFamily | exploit |
| description | Bugtraq ID: 47829 CVE ID:CVE-2011-0756 Trustwave WebDefend是一款WEB应用防火墙。 -WebDefend使用的MySQL数据使用了静态的用户名和密码,此用户账户提供对事件收集表的访问,其中包括IP和URL信息。此表中其他数据以加密形式存在。要执行此操作需要访问应用设备管理端口(CVE-2011-1906)。 -WebDefend使用瘦客户端与应用程序服务器通信,WebDefend Enterprise 5.0之前版本使用静态用户名和密码,使用静态控制台用户名和密码,再加上密钥,可通过应用设备验证,通过远程控制台GUI获得对数据的访问。此用户账户只允许查看安全事件数据。要执行此操作需要访问应用设备管理端口(CVE-2011-0756)。 Trustwave WebDefend Enterprise 5.0 厂商解决方案 Trustwave WebDefend 5.0 7.01.903-1.4已经修复此漏洞,建议用户下载使用: http://www.tekuva.com/index.php?option=com_docman&task=doc_details&gid=40&Itemid=9 |
| id | SSV:20547 |
| last seen | 2017-11-19 |
| modified | 2011-05-13 |
| published | 2011-05-13 |
| reporter | Root |
| title | Trustwave WebDefend Enterprise多个信息泄露漏洞 |