Предсказуемый сгенерированный пароль в DCForum
| Дата публикации: | 05.02.2002 |
| Дата изменения: | 17.10.2006 |
| Всего просмотров: | 1177 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | DCForum - web основанная система конференц-связи написанная на Perl и доступная для большинства операционных систем, включая Linux и Windows.
Для возврата пользователю потерянного или забытого пароля, DCForum создает пароли с данными, принятыми от ID сеанса. Эта процедура эффективно устанавливает новый пароль на известное значение (имя пользователя + 6 первых символов ID сеанса пользователя). Функция доступна любому удаленному пользователю, и может использоваться, чтобы ставить под угрозу произвольные учетные записи DCForum, включая записи с административными привилегиями. Уязвимость найдена в DC Scripts DCForum 5.0-6.2.1, 2000 1.0 |
| Ссылки: |
Источник Патч |
|
|
http://www.dcscripts.com/dcforum.shtml |