Security Lab

Несколько уязвимостей в Petitforum

Дата публикации:21.02.2003
Всего просмотров:913
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Petitforum (http://mathosphere.free.fr ). Удаленный пользователь может получить доступ к форуму, действуя как целевой пользователь. Также удаленный пользователь может получить доступ к адресам электронной почты и зашифрованные пароли всех пользователей.

Программа хранит e-mail адреса пользователей, имена для входа в систему и зашифрованные пароли в файле, который доступен для удаленных пользователей:

 
http://[target]/secret/liste.txt
Также сообщается, что сценарий 'message.php' не подтверждает подлинность удаленных пользователей. Удаленный пользователь может установить куки со значением имени целевого пользователя, чтобы получить доступ к сценарию, действуя как целевой пользователь.
Ссылки: Petitforum bugs