Ultimate PHP Board可注册第二个’admin’用户漏洞

漏洞信息详情

Ultimate PHP Board可注册第二个’admin’用户漏洞

• CNNVD编号：CNNVD-200212-553
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2002-1820
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2002-08-25
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  ultimate_php_board
• 漏洞来源：
  GooDWiN※ badwin@ra…

Ultimate PHP Board是一款开放源代码由PHP编写的WEB论坛程序。
Ultimate PHP Board允许存在两个\’\’admin\’\’帐户，远程攻击者可以利用这个漏洞可以冒充admin用户发言。
Ultimate PHP Board允许存在两个不同访问级别的\’\’admin\’\’帐户，在安装阶段可以注册一个\’\’admin\’\’帐户，它的权限为管理员级别，而安装完后，可以通过register.php又可以注册一个名为\’\’admin\’\’的帐户，而upb不会产生任何错误，但是这个\’\’admin\’\’却只有\’\’member\’\’组权限。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* ewgenij_s@gmx.de提供了如下第三方临时解决方案：

在register.php中：

更改$c = count($d)-2;

为

$c = count($d)-1;
厂商补丁：
Ultimate PHP Board
——————
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.webrc.ca/php/upb.php” target=”_blank”>
http://www.webrc.ca/php/upb.php

来源: XF
名称: upb-register-admin-spoof(9972)
链接:http://www.iss.net/security_center/static/9972.php

来源: BID
名称: 5580
链接:http://www.securityfocus.com/bid/5580

来源：NSFOCUS
名称：3403
链接：http://www.nsfocus.net/vulndb/3403