Удаленный административный доступ в Elite News

Дата публикации:
22.07.2003
Всего просмотров:
691
Опасность:
Высокая
Наличие исправления:
Нет
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Elite News 1.x
Описание:

Уязвимость обнаружена в Elite News. Удаленный пользователь может получить административные на приложении.

Удаленный пользователь может обратиться к 'stats.php' сценарию, чтобы определить имя пользователя администратора. Пример:

/elitenews/stats.php

C этим именем пользователь может войти в систему через '/elitenews/login.html' страницу, используя имя администратора с пустым паролем. Затем удаленный пользователь может напрямую обратится к 'newspost.php' сценарию, чтобы послать сообщения как администратор системы. Другие сценарии ('modify.php', 'editordelete.php') могут быть также доступны удаленному пользователю.

Уязвимость обнаружена в Elite News 1.0.0.0 - 1.0.0.3b

Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: Elite News Ver. 1.0.0.0-1.0.0.3

или введите имя

CAPTCHA