Security Lab

Административный доступ в PhotoDB

Дата публикации:10.05.2002
Всего просмотров:1005
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: PhotoDB 1.4 - PHP система управления и отображения фотографий на Web сайте.

Программа использует простой опознавательный сценарий, который может легко быть обойден. Представляя запрос со следующими параметрами для страницы администратора, можно получить права администратора в уязвимой системе:

/[THEADMINSPAGE]?PHPSESSID=abc123&Time=9999999999999&rmtusername=hop&rmtpassword=hop&accessevel=-5
(Значения параметров позволяют обходить простые проверки в опознавательном сценарии).

Уязвимость обнаружена в Brokenbytes PhotoDB 1.4