受影响系统:
vbPortal vbPortal 2.0 alpha 8.1
描述:
BUGTRAQ ID: 8613
vbPortal是一款基于PHP的vbulletin构建系统。
vbPortal没有正确处理用户提供的$aid变量,远程攻击者可以利用这个漏洞绕过访问限制,以管理员权限访问系统。
当验证用户的时候存在漏洞,其中$aid变量用于存储验证用户的名字,攻击者提交包含恶意SQL查询的数据就可以更改原来系统逻辑,无需密码以管理员权限访问系统。
<*来源:Frog Man (leseulfrog@hotmail.com)
*>
厂商补丁:vbPortal
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.vbportal.com/
关注此文的读者还看过:
