Subject: [Info Disclosure] Diesel PHP Job Site Latest Version<br><br>Severity: Pretty Bad<br>Title: Diesel PHP Job Site Latest Version Information Disclosure<br>Home Page: <a href="http://www.dieselscripts.com/">http://www.dieselscripts.com/
</a><br>Product Page: <a href="http://www.dieselscripts.com/diesel-job-site.html">http://www.dieselscripts.com/diesel-job-site.html</a><br>Date: May 17, 2006<br><br><br>Synopsis:<br>=========<br>When an unsuspecting user installs this software on their
<br>webserver, all information is emailed back to the original<br>programmers of this software. This information is sent<br>from install.php, which includes the database host, <br>database name, username, and password used to connect.
<br><br><br>Background:<br>===========<br>This script allows job seekers to post their resumes <br>and search job postings for free and employers pay <br>a fee to post jobs and search the resumes online.<br>Free posting and searching is also possible.
<br><br><br>Information:<br>============<br>I run a VOIP Jobs site tailored to the Asterisk Community. <br>As I do not have much money or investors I couldn't afford <br>some swanky ass Job Board. I found this one, which was 
<br>relatively cheap, but required register_globals. I bought it<br>anyway (mistake #1). So, I thought I would be nice, and edit<br>their software to remove this requirement. While I was looking <br>through the code I found this little gem in the install file. 
<br><br>Details:<br>========<br>In install.php, line 31, there is a call to a mail function<br>that emails <a href="mailto:support@dieselscripts.com">support@dieselscripts.com</a> with your username, <br>email, database credentials, hosts and passwords. Due to their
<br>licensing agreement I'm not actually allowed to post the offending<br>line of code from the file. <br><br>It's worth mentioning that they also tried to hide this from <br>unsuspecting users by tabbing it across the screen a number of 
<br>times so it was hidden if scrolling without wordwrap on. Sneaky bastards. <br><br>Fix/Workaround:<br>===============<br>1. Don't use this software<br>2. Use it, but first comment/delete that line from install.php<br>3. Disable the ability to send mail from PHP/Server
<br><br>