Security Lab

НЕавторизованный административный доступ к PhpAuction

Дата публикации:05.07.2002
Всего просмотров:1040
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: PhpAuction – бесплатная система проведения аукционов написанная на PHP+mySQL. Недостаток в /admin/login.PHP позволяет пользователям получать повышенные привилегии. Передача опознавательных мандатов через login.PHP, создаст учетную запись пользователя с административными привилегиями. Пример:

curl http://pro.phpauction.org/proplus/admin/login.php -d "action=insert" -d "username=test" -d

Уязвимость обнаружена в PHPAuction 1.2-2.1

Ссылки: PHPAuction Unauthorized Administrative Access Vulnerability