Outfront Spooky Login SQL访问验证漏洞

漏洞信息详情

Outfront Spooky Login SQL访问验证漏洞

• CNNVD编号：CNNVD-200212-488
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1720
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-05-02
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  outfront
• 漏洞来源：

Spooky Login是一款商业WEB访问控制和帐户管理软件，由Outfront分发和维护，设计用于Microsoft IIS Web服务器。
Spooky Login对用户提交的密码字段的数据缺少正确充分的检查，可导致远程攻击者操作SQL查询绕过验证访问系统。
由于Spooky Login在判别密码字段的SQL查询逻辑不正确，攻击者可以构建特殊的数据提交给Spooky Login登录页面的密码字段，无需知道密码就可以绕过验证机制，攻击者可能以管理员权限访问系统。
＜**＞

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 对Spooky Login进行访问控制，只允许可信用户访问。
厂商补丁：
Outfront
——–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.outfront.net/” target=”_blank”>
http://www.outfront.net/

来源: XF
名称: spooky-login-sql-injection(8991)
链接:http://xforce.iss.net/xforce/xfdb/8991

来源: BID
名称: 4661
链接:http://www.securityfocus.com/bid/4661

来源: www.securiteam.com
链接:http://www.securiteam.com/windowsntfocus/5VP030K75G.html

来源：NSFOCUS
名称：2723
链接：http://www.nsfocus.net/vulndb/2723