发布日期：1999-04-20
更新日期：1999-04-20

受影响系统：

Quikstore Quikstore 1.0

不受影响系统：

Quikstore Quikstore 2.11
Quikstore Quikstore 2.10.5

描述：

---

BUGTRAQ  ID: 1983
CVE(CAN) ID: CVE-1999-0607

QuikStore是一个商业性的CGI软件包，用来为Web提供一些电子商务功能。

QuikStoreq的配置文件quikstore.cfg默认权限设置不当，导致敏感信息暴露。

某些老版本的QuikStore把管理员的用户名和口令以明文的形式存放在一个叫quikstore.cfg的配置文件里，而此文件的默认访问权限是全局可读的，远程用户可以很容易访问到。这样攻击者会轻易控制软件，得到许多用户敏感信息。

<*来源：Joe （joe@gonzo.blarg.net）
  
  链接：http://xforce.iss.net/static/3858.php
        http://online.securityfocus.com/archive/1/13363
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对文件设置正确的访问权限，禁止从远程直接访问。

厂商补丁：

Quikstore
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.quikstore.com/

浏览次数：18246
严重程度：0（网友投票）