Slashcode登录任意用户帐号漏洞

漏洞信息详情

Slashcode登录任意用户帐号漏洞

• CNNVD编号：CNNVD-200212-515
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1748
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-01-10
  
• 威胁类型：
  
  
  本地
  
• 更新时间：
  
  2006-08-24
  
• 厂        商：
  
  open_source_development_network
• 漏洞来源：
  Chris Nandor※ pudg…

Slashcode是一个类似BBS的讨论中心系统，为著名的Slashdot讨论区所使用。
Slashcode存在设计问题，可以使远程攻击者以任意的有效用户名登录，从而完全冒用此用户在讨论板上进行活动。
这个漏洞存在于某些版本的slashcode中，任意已经登录的合法用户可以取得对其他任意用户帐号的访问。通过利用这个漏洞，攻击者可以得到管理用户的权限，从而完全控制站点的服务。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 您应该暂时停止Web站点的使用，尽快升级到最新版本。
厂商补丁：
Slashcode
———
目前厂商已经在新版本的程序中修补了这个漏洞，我们建议使用此软件的用户到厂商的主页获取最新版本：

Slashcode Upgrade slash-2.2.3.tar.gz

http://sourceforge.net/project/showfiles.php?group_id=4421” target=”_blank”>
http://sourceforge.net/project/showfiles.php?group_id=4421

来源: XF
名称: slashcode-account-access(7863)
链接:http://xforce.iss.net/xforce/xfdb/7863

来源: BID
名称: 3839
链接:http://www.securityfocus.com/bid/3839

来源：NSFOCUS
名称：2193※3205
链接：http://www.nsfocus.net/vulndb/2193※3205