安全研究
安全漏洞
APBoard未授权内部论坛信息可读漏洞
发布日期:2002-12-06
更新日期:2002-12-12
受影响系统:APP APBoard 2.02
描述:
BUGTRAQ ID:
6330
APBoard是一款开放源代码由PHP编写的论坛程序。
由于'useraction.php'脚本不正确检查用户权限信息,远程攻击者可以利用这个漏洞未授权读取内部论坛的帖子。
利用'useraction.php'脚本对用户权限检查不正确,远程攻击者可以使脚本把内部论坛的帖子直接发到攻击者注册的信箱,造成未授权访问内部信息。
<*来源:DNA ESC (
dna@http.ch)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103921818816373&w=2
*>
测试方法:
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
DNA ESC (
dna@http.ch)提供了如下测试方法:
www.board.de/useraction.php3?action=subscribe_thread&threadid=<private thread id>
建议:
厂商补丁:
APP
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.php-programming.info/浏览次数:2687
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |