Обход аутентификации в TWiki

Дата публикации:
05.12.2006
Дата изменения:
08.12.2008
Всего просмотров:
1906
Опасность:
Средняя
Наличие исправления:
Инстуркции по устранению
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Обход ограничений безопасности
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Twiki
Уязвимые версии: TWiki версии TWikiRelease01Sep2004 по TWikiRelease04Sep2004 с SessionPlugin, и версии 4.0.0 по 4.0.5

Описание:
Уязвимость позволяет удаленному пользователю обойти некоторые ограничения безопасности и получить доступ к важным данным на системе.

Уязвимость существует из-за ошибки при обработке неудачных попыток входа. Злоумышленник может обойти процесс аутентификации и просмотреть содержимое закрытых тем путем отмены входы для существующего пользователя.

Для удачной эксплуатации уязвимости приложение должно быть запущено на Apache 1.3, "ErrorDocument 401" должен быть установлен в тему TWiki, ApacheLogin с TWiki-4.0 или SessionPlugin для более старых версий должны использоваться для обработки сессий.

URL производителя: www.twiki.org

Решение: Производитель рекомендует изменить опцию "ErrorDocument" в настройках Web сервера.

Ссылки: Security Alert: Login bypass allows view of access restricted content (CVE-2006-6071)

или введите имя

CAPTCHA