PhpWebGallery用户账号Cookie验证漏洞

漏洞信息详情

PhpWebGallery用户账号Cookie验证漏洞

• CNNVD编号：CNNVD-200212-406
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-2064
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2002-04-27
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  phpwebgallery
• 漏洞来源：
  frog frog※ leseulf…

PhpWebGallery是一款由Pierrick Le Gall维护的允许用户建立图库的系统，可使用在多种Linux和Unix操作系统下。
PhpWebGallery对用户验证缺少正确充分的检查，可导致远程攻击者以其他用户权限访问PhpWebGallery系统。
PhpWebGallery使用Cookie进行认证，不过Cookie以明文方式存储在用户系统中，攻击者可以修改他们的Cookie数据，并以服务中任意用户的权限访问PhpWebGallery系统，包括管理员用户权限。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 暂时没用合适的临时解决方法。
厂商补丁：
PhpWebGallery
————-
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.z0rglub.com/” target=”_blank”>
http://www.z0rglub.com/

来源: BID
名称: 4622
链接:http://www.securityfocus.com/bid/4622

来源: www.ifrance.com
链接:http://www.ifrance.com/kitetoua/tuto/PWG.txt

来源: VULN-DEV
名称: 20020427 Security holes in 11 products…
链接:http://seclists.org/lists/vuln-dev/2002/Apr/0270.html

来源：NSFOCUS
名称：2699
链接：http://www.nsfocus.net/vulndb/2699