ASP-Nuke明文Cookie认证信息导致任意访问漏洞

漏洞信息详情

ASP-Nuke明文Cookie认证信息导致任意访问漏洞

• CNNVD编号：CNNVD-200208-105
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-0522
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-04-09
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  asp-nuke
• 漏洞来源：
  frog frog※ leseulf…

ASP-Nuke是一套运行于多种操作系统中且基于Web的系统架构程序。
ASP-Nuke中Cookie存在设计问题，可导致攻击者以任意用户访问应用系统。
ASP-Nuke使用Cookie进行认证，当用户使用Cookie时，Cookie以非加密形式存储在本地系统上，攻击者可以通过修改Cookie信息，导致以任意用户权限访问ASP-Nuke系统，包括以管理员帐户权限访问。

厂商补丁：
ASP-Nuke
——–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.asp-nuke.com/downloads.asp” target=”_blank”>
http://www.asp-nuke.com/downloads.asp

来源: BID
名称: 4484
链接:http://www.securityfocus.com/bid/4484

来源: XF
名称: aspnuke-account-hijacking(8832)
链接:http://www.iss.net/security_center/static/8832.php

来源: www.ifrance.com
链接:http://www.ifrance.com/kitetoua/tuto/ASPNuke.txt

来源: VULN-DEV
名称: 20020409 Security holes in ASP-Nuke
链接:http://online.securityfocus.com/archive/82/266705

来源: www.asp-nuke.com
链接:http://www.asp-nuke.com/news.asp?date=20020412&cat=11