Предсказуемый сгенерированный пароль в DCForum

Дата публикации:
05.02.2002
Дата изменения:
17.10.2006
Всего просмотров:
794
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: DCForum - web основанная система конференц-связи написанная на Perl и доступная для большинства операционных систем, включая Linux и Windows.

Для возврата пользователю потерянного или забытого пароля, DCForum создает пароли с данными, принятыми от ID сеанса. Эта процедура эффективно устанавливает новый пароль на известное значение (имя пользователя + 6 первых символов ID сеанса пользователя). Функция доступна любому удаленному пользователю, и может использоваться, чтобы ставить под угрозу произвольные учетные записи DCForum, включая записи с административными привилегиями.

Уязвимость найдена в DC Scripts DCForum 5.0-6.2.1, 2000 1.0

Ссылки: Источник
Патч
http://www.dcscripts.com/dcforum.shtml

или введите имя

CAPTCHA