发布日期：2002-05-28
更新日期：2002-06-02

受影响系统：

Woltlab Burning Board 1.1.1

描述：

---

BUGTRAQ  ID: 4859
CVE(CAN) ID: CVE-2002-0903

WoltLab Burning Board是一款免费基于WEB的论坛程序，由PHP结合MYSQL编写。

WoltLab Burning Board在激活帐户处理上存在漏洞，可导致远程攻击者提交激活URL请求激活帐户。

当用户在WoltLab Burning Board论坛上建立一新帐户时，他们会获得一链接，必须点击此链接才能激活使用新的帐户，不过此链接使用可猜测

格式，任意攻击者可以通过提交类似的激活用户链接请求来激活其他用户的帐户功能。

<*来源：SeazoN （seazon@dnestr.com）
  
  链接：http://archives.neohapsis.com/archives/bugtraq/2002-05/0236.html
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 创建用户时使用rand()或者md5(uniqid(rand(),1))。

厂商补丁：

Woltlab
-------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.woltlab.de/en/projects.php?id=1

浏览次数：3706
严重程度：0（网友投票）