Forums!信息提交用户验证不安全漏洞

漏洞信息详情

Forums!信息提交用户验证不安全漏洞

• CNNVD编号：CNNVD-200203-074
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0108
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2002-01-08
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  allaire
• 漏洞来源：
  John Cantu※ Jeian@…

Forums!是一款使用Allaire Cold Fusion服务器后台支持的基于WEB的BBS程序，来源于开放源代码的Allaire Forums软件。
Forums!在新信息提交过程中存在验证漏洞，可以导致以其他用户身份向论坛提交信息。
Forums!对提交信息的用户身份鉴别依靠从CGI提供的值来判断，而此值是通过隐藏表单域(HIDDEN)传递的，这些值可以简单的通过系统任意用户在本地修改并提交，导致任意用户可以用其他用户身份发表信息。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

暂时没有合适的临时解决方法。
厂商补丁：
Allaire
——-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.allaire.com/products/forums/index.cfm” target=”_blank”>
http://www.allaire.com/products/forums/index.cfm

来源:US-CERT Vulnerability Note: VU#575619
名称: VU#575619
链接:http://www.kb.cert.org/vuls/id/575619

来源: BID
名称: 3827
链接:http://www.securityfocus.com/bid/3827

来源: XF
名称: allaire-forums-message-spoofing(7841)
链接:http://www.iss.net/security_center/static/7841.php

来源: BUGTRAQ
名称: 20020108 Allaire Forums Vulnerability
链接:http://online.securityfocus.com/archive/1/249026