发布日期：2004-02-06
更新日期：2004-02-17

受影响系统：

OpenJournal OpenJournal 2.05
OpenJournal OpenJournal 2.04
OpenJournal OpenJournal 2.03
OpenJournal OpenJournal 2.02
OpenJournal OpenJournal 2.01
OpenJournal OpenJournal 2.0

不受影响系统：

OpenJournal OpenJournal 2.06

描述：

---

BUGTRAQ  ID: 9598
CVE(CAN) ID: CVE-2004-0261

OpenJournal是一个基于WEB接口BLOG类型程序。

OpenJournal不充分过滤URL中的参数数据，远程攻击者可以利用这个漏洞绕过验证，直接访问管理控制面板。

问题是oj.cgi对用户提交的uid参数缺少充分过滤，提交恶意数据可绕过验证访问软件管理接口，增加用户帐户等恶意操作。

<*来源：Tri Huynh （trihuynh@zeeup.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=107619136600713&w=2
*>

建议：

---

厂商补丁：

OpenJournal
-----------
Open Journal Blog 2.6下载：

http://www.grohol.com/downloads/oj/

浏览次数：2890
严重程度：0（网友投票）