发布日期：2002-01-10
更新日期：2002-01-16

受影响系统：

Slashcode Slashcode 2.2.2
Slashcode Slashcode 2.2.1
Slashcode Slashcode 2.2
Slashcode Slashcode 2.1.1
Slashcode Slashcode 2.1

不受影响系统：

Slashcode Slashcode 2.2.3

描述：

---

BUGTRAQ  ID: 3839
CVE(CAN) ID: CVE-2002-1748

Slashcode是一个类似BBS的讨论中心系统，为著名的Slashdot讨论区所使用。

Slashcode存在设计问题，可以使远程攻击者以任意的有效用户名登录，从而完全冒用此用户在讨论板上进行活动。

这个漏洞存在于某些版本的slashcode中，任意已经登录的合法用户可以取得对其他任意用户帐号的访问。通过利用这个漏洞，攻击者可以得到管理用户的权限，从而完全控制站点的服务。

<*来源：Chris Nandor （pudge@osdn.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-01/0121.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 您应该暂时停止Web站点的使用，尽快升级到最新版本。

厂商补丁：

Slashcode
---------
目前厂商已经在新版本的程序中修补了这个漏洞，我们建议使用此软件的用户到厂商的主页获取最新版本：

Slashcode Upgrade slash-2.2.3.tar.gz
http://sourceforge.net/project/showfiles.php?group_id=4421

浏览次数：2975
严重程度：0（网友投票）