Security Lab

Предсказуемый сгенерированный пароль в DCForum

Дата публикации:05.02.2002
Дата изменения:17.10.2006
Всего просмотров:1151
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: DCForum - web основанная система конференц-связи написанная на Perl и доступная для большинства операционных систем, включая Linux и Windows.

Для возврата пользователю потерянного или забытого пароля, DCForum создает пароли с данными, принятыми от ID сеанса. Эта процедура эффективно устанавливает новый пароль на известное значение (имя пользователя + 6 первых символов ID сеанса пользователя). Функция доступна любому удаленному пользователю, и может использоваться, чтобы ставить под угрозу произвольные учетные записи DCForum, включая записи с административными привилегиями.

Уязвимость найдена в DC Scripts DCForum 5.0-6.2.1, 2000 1.0

Ссылки: Источник
Патч

http://www.dcscripts.com/dcforum.shtml