发布日期：2004-07-29
更新日期：2004-08-02

受影响系统：

JAWS JAWS 0.4
JAWS JAWS 0.3
JAWS JAWS 0.2

描述：

---

BUGTRAQ  ID: 10826
CVE(CAN) ID: CVE-2004-2067

Jaws是一款动态构建WEB站点的内容管理系统。

Jaws controlpanel.php脚本不正确处理用户提交的URI参数，远程攻击者可以利用这个漏洞无需要提供密码访问管理员控制面版。

由于controlpanel.php脚本对用户提交给"crypted_password"变量缺少正确的逻辑检查，攻击者提交类似''' or '2'='2''的数据，可导致逻辑错误，无需提供正确密码通过验证访问应用程序管理面版。

<*来源：Fernando Quintero （nando@udea.edu.co）
  
  链接：http://marc.theaimsgroup.com/?t=109116358500001&r=1&w=2
*>

建议：

---

厂商补丁：

JAWS
----
目前CVS版本已经修补此问题，请到厂商的主页下载：

http://www.jaws.com.mx/

浏览次数：3353
严重程度：0（网友投票）