Vinylmusix – Expone sus backups al publico

Vinylmusix es un sitio dedicado a la venta de material musical,   el cual presenta una falla de seguridad categorizada -en secureless- como Data Leak, ya que deja disponible para cualquier usuario el directorio de sus respaldos. El directorio backup/ es un subdirectorio de admin/, aparentemente tambien se trata de un Auth Bypass, al poder acceder al directorio que está dentro de admin/ sin autentificación. La vulnerabilidad está reportada desde el 17/04/2011.

Al ingresar directamente al directorio admin/backup, podemos ver el listado de archivos y directorios

 

En el contenido de los archivos podemos ver información como usuario y password:

La vulnerabilidad corresponde a la número #1293