安全研究
安全漏洞
Slashcode新闻讨论区程序远程越权管理漏洞
发布日期:2002-01-10
更新日期:2002-01-10
受影响系统:slashcode.com Slashcode 2.2.2
slashcode.com Slashcode 2.2.1
slashcode.com Slashcode 2.2
slashcode.com Slashcode 2.1.1
slashcode.com Slashcode 2.1
不受影响系统:slashcode.com Slashcode 2.2.3
slashcode.com Slashcode 2.0
描述:
BUGTRAQ ID:
3839
CVE(CAN) ID:
CVE-2002-1748
Slashcode是一个流行的基于Web的BBS、网络新闻讨论中心程序,用Perl语言编写,运行于著名的开放源码新闻讨论区slashdot.org上,并为很多类似性质的站点所使用。
对于某些版本的Slashcode,实现上存在一个问题,远程攻击者可以利用此漏洞完全控制整个BBS应用系统。
Slashcode实现上的漏洞允许一个正常登陆的普通用户可以使用其他任何一个用户的身份,甚至是管理员帐号。这意味着只要在BBS上注册一个帐号就可以控制整个BBS,甚至进一步侵害整个主机。
<*来源:Daniel Bowers (
daniel@satus.com)
链接:
http://online.securityfocus.com/bid/3839/info/
*>
建议:
厂商补丁:
slashcode.com
-------------
厂商已经在2.2.3以上版本的软件中修补了这个安全漏洞,请到如下的地址下载:
http://sourceforge.net/project/showfiles.php?group_id=4421浏览次数:3122
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |