| Access_User Class绕过任意帐号认证漏洞 |
|
| Access_User Class绕过任意帐号认证漏洞 |
|
| |
|
受影响系统:
finalwebsites Access_user Class 1.6
不受影响系统:
finalwebsites Access_user Class 1.75
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 13070
Access_User Class是一个PHP类,主要用户保护页面和注册用户。
Access_User Class处理帐号名时存在漏洞,远程攻击者可能绕过认证直接获取访问。
Access_user Class中存在绕过任意帐号认证漏洞,起因是应用程序将new保留为所有帐号的有效口令。如果攻击者知道了有效的用户名的话,就可以使用new做为口令,登陆任意帐号。
<*来源:olaf (lederer@lycos.nl)
链接:http://freshmeat.net/projects/access_user/?branch_id=53852&release_id=192770
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
finalwebsites
-------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
Access_user Class Upgrade Access_user Class 1.75
http://www.finalwebsites.com/classes/download.php?fc=10 |
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2006-11-3 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
| 教程录入:admin 责任编辑:admin |
|
上一个教程: Sun J2SE软件开发包Java Archive工具目录遍历漏洞
下一个教程: AN HTTPD CMDIS.DLL远程缓冲区溢出漏洞 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 