发布日期：2000-08-18
更新日期：2000-08-18

受影响系统：

Lyris List Manager 4.0
Lyris List Manager 3.0

不受影响系统：

描述：

---

Lyris的列表管理器是一个基于web的邮件列表管理工具，它是用perl开发的。它根据一个隐含的
变量"list_admin"的值来判断当前用户是否是管理员，如果这个变量的值为"T"(rue),用户是
管理员，如果是"F"(alse)，则认为不是。
然而这个变量保存在用户接收到的html文件中，用户可以将这个页面保存下来，修改这个隐含变
量的值为"T",然后提交表单。管理程序就认为用户是列表管理员，从而赋予他管理员权限。

<*来源：Adam Hupp (hupp@upl.cs.wisc.edu) *>






建议：

---

Lyris已经发布了相关的补丁用来解决这个问题：

补丁的安装说明可以在下列地址找到：
ftp://ftp.lyris.com/listmanager/updates/securitypatch_instructions.txt

补丁地址：
ftp://ftp.lyris.com/listmanager/updates/lyris.pl
ftp://ftp.lyris.com/listmanager/updates/lyrispg.pl



浏览次数：6014
严重程度：0（网友投票）