发布日期：2002-05-02
更新日期：2002-05-09

受影响系统：

Outfront Spooky Login 2.5
Outfront Spooky Login 2.4
Outfront Spooky Login 2.3
Outfront Spooky Login 2.2
Outfront Spooky Login 2.1
Outfront Spooky Login 2.0

描述：

---

BUGTRAQ  ID: 4661
CVE(CAN) ID: CVE-2002-1720

Spooky Login是一款商业WEB访问控制和帐户管理软件，由Outfront分发和维护，设计用于Microsoft IIS Web服务器。

Spooky Login对用户提交的密码字段的数据缺少正确充分的检查，可导致远程攻击者操作SQL查询绕过验证访问系统。

由于Spooky Login在判别密码字段的SQL查询逻辑不正确，攻击者可以构建特殊的数据提交给Spooky Login登录页面的密码字段，无需知道密码就可以绕过验证机制，攻击者可能以管理员权限访问系统。

<**>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 对Spooky Login进行访问控制，只允许可信用户访问。

厂商补丁：

Outfront
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.outfront.net/

浏览次数：3073
严重程度：0（网友投票）