安全研究
安全漏洞
Ultimate PHP Board可注册第二个'admin'用户漏洞
发布日期:2002-08-25
更新日期:2002-09-02
受影响系统:Ultimate PHP Board Ultimate PHP Board 1.0 b
Ultimate PHP Board Ultimate PHP Board 1.0
描述:
BUGTRAQ ID:
5580
CVE(CAN) ID:
CVE-2002-1820
Ultimate PHP Board是一款开放源代码由PHP编写的WEB论坛程序。
Ultimate PHP Board允许存在两个'admin'帐户,远程攻击者可以利用这个漏洞可以冒充admin用户发言。
Ultimate PHP Board允许存在两个不同访问级别的'admin'帐户,在安装阶段可以注册一个'admin'帐户,它的权限为管理员级别,而安装完后,可以通过register.php又可以注册一个名为'admin'的帐户,而upb不会产生任何错误,但是这个'admin'却只有'member'组权限。
<*来源:GooDWiN (
badwin@rambler.ru)
链接:
http://marc.theaimsgroup.com/?l=bugtraq&m=103047141412189&w=2
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
*
ewgenij_s@gmx.de提供了如下第三方临时解决方案:
在register.php中:
更改$c = count($d)-2;
为
$c = count($d)-1;
厂商补丁:
Ultimate PHP Board
------------------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.webrc.ca/php/upb.php浏览次数:2714
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |