漏洞信息详情

Snitz Forum Cookie验证绕过漏洞

• CNNVD编号：CNNVD-200308-008
• 危害等级： 超危
  
• CVE编号： CVE-2003-0493
• 漏洞类型： 设计错误
• 发布时间： 2003-06-15
• 威胁类型： 远程
• 更新时间： 2006-08-24
• 厂        商： snitz_communications
• 漏洞来源： JeiAr jeiar@kmfms....

漏洞简介

Snitz Forums是一款基于WEB的ASP脚本编写的论坛程序。 Snitz Forums在处理Cookie验证过程中存在问题，远程攻击者利用这个漏洞可以绕过验证，无需密码以其他用户权限登录系统。 攻击者只要知道其他用户加密密码信息，就可以利用密码HASH信息，修改Cookie值，无需密码访问应用系统。攻击者可以利用跨站脚本攻击获得此信息，以自己帐户获得合法会话ID，然后修改用户名和加密密码信息来进行登录。

漏洞公告

厂商补丁： Snitz Forums 2000 ----------------- 目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://forum.snitz.com/

参考网址

来源: BID 名称: 7924 链接:http://www.securityfocus.com/bid/7924 来源: BUGTRAQ 名称: 20030616 Multiple Vulnerabilities In Snitz Forums 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105578322012128&w=2

受影响实体

• Snitz_communications Snitz_forums_2000:3.4.03  

补丁

暂无