Geeklog新用户默认管理权限漏洞

漏洞信息详情

Geeklog新用户默认管理权限漏洞

• CNNVD编号：CNNVD-200203-052
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0096
  
• 漏洞类型：
  
  
  未知
  
• 发布时间：
  
  2002-01-04
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2005-05-02
  
• 厂        商：
  
  geeklog
• 漏洞来源：
  Woody Hughes※ wood…

Geeklog是德国软件开发者Dirk Haun所研发的一套开源的门户、内容管理、博客系统。该系统支持创建新闻系统或在线社区，可管理用户、张贴文章等。
Geeklog 1.3版本中存在配置错误可以允许非特权，一般用户登陆到服务获得管理员权限。
由Geeklog建立的第一新用户帐户其属于GroupAdmin/UserAdmin，可以导致第一个用户有管理员的权限，可以完全控制整个Geeklog系统。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 如果你已经安装好Geeklog1.3就需要编辑UID为13的用户，进入MYSQL，输入如下查询：”SELECT username FROM users WHERE uid = 13″，然后在admin/users.php页面中编辑用户属性，去掉GroupAdmin Group 和 the UserAdmin Group的选项框选择。
厂商补丁：
Geeklog
——-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://geeklog.sourceforge.net/” target=”_blank”>
http://geeklog.sourceforge.net/

来源: BID
名称: 3783
链接:http://www.securityfocus.com/bid/3783

来源: BUGTRAQ
名称: 20020103 Vulnerability in new user creation in Geeklog 1.3
链接:http://www.securityfocus.com/archive/1/248367

来源: XF
名称: geeklog-default-admin-privileges(7780)
链接:http://www.iss.net/security_center/static/7780.php

来源: geeklog.sourceforge.net
链接:http://geeklog.sourceforge.net/index.php?topic=Security