Security Lab

Сценарий 'browse.php' не в состоянии авторизовать удаленного пользователя в Owl Intranet Engine

Дата публикации:20.05.2003
Дата изменения:17.10.2006
Всего просмотров:910
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимость обнаружена в Owl Intranet Engine. Удаленный пользователь может получить доступ к приложению без авторизации.

Сообщается, что удаленный пользователь может представить специально обработанный URL с несуществующим именем пользователя, чтобы получить доступ к приложению без установления подлинности.

Сценарий 'browse.php' не проверяет мандаты пользователя, когда он вызывается напрямую удаленным пользователем. Пример:

http://[target]/intranet/browse.php?loginname=whocares
Уязвимость обнаружена в Owl Intranet Engine 0.71
Ссылки: Owl Intranet Engine - File Disclosure Vulnerabilty