发布日期：2002-04-18
更新日期：2002-04-25

受影响系统：

PVote PVote 1.5
PVote PVote 1.0 b
PVote PVote 1.0 a
PVote PVote 1.0

不受影响系统：

PVote PVote 1.9

描述：

---

BUGTRAQ  ID: 4541
CVE(CAN) ID: CVE-2002-0589

Pvote是一款由PHP编写的WEB投票系统，可运行在Linux和Unix操作系统下，也运行在Microsoft Windows操作系统下。

Pvote对用户输入缺少正确的检查，导致远程攻击者可以任意改变管理员密码信息。

攻击者可以通过提交包含适当内容的WEB请求给ch_info.php脚本，就可以无需任何认证的情况下改变管理密码。

<*来源：Daniel Nystr?m （exce@netwinder.nu）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-04/0230.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 暂时没有合适的临时解决方法。

厂商补丁：

PVote
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

PVote PVote 1.0 b:

PVote Upgrade PVote 1.9
http://orbit-net.net:8001/php/pvote/pvote.zip

PVote PVote 1.0 a:

PVote Upgrade PVote 1.9
http://orbit-net.net:8001/php/pvote/pvote.zip

PVote PVote 1.0:

PVote Upgrade PVote 1.9
http://orbit-net.net:8001/php/pvote/pvote.zip

PVote PVote 1.5:

PVote Upgrade PVote 1.9
http://orbit-net.net:8001/php/pvote/pvote.zip

浏览次数：3022
严重程度：0（网友投票）