K-Otik Security : CesarFTP Server Settings.ini Plaintext Password Vulnerability

CesarFTP Server Settings.ini Plaintext Password Vulnerability

Date de Publication: 2003-05-20
Titre: CesarFTP Settings.ini Plaintext Password Vulnerability
K-Otik ID : 0098
Exploitable à distance : Non
Exploitable en local : Oui

* Description Technique - Exploit *

CesarFTP est un serveur ftp simple à configurer. Les mots de passes sont enregistrés en clair dans le fichier Settings.ini. Il suffira donc à un attaquant de récupérer ou de lire ce fichier.
....
Password= "lalala"
Login= "megahz"
Name= "megahz"
....

* Versions Vulnérables *

Cesar FTP v0.99g

* Solution *

Aucune solution pour l'instant.http://www.aclogic.com

* Crédits *

Faille découverte par MegaHz (Mai 2003).