Snitz Forum Cookie验证绕过漏洞

漏洞信息详情

Snitz Forum Cookie验证绕过漏洞

• CNNVD编号：CNNVD-200308-008
• 危害等级： 超危
  
  
• CVE编号：
  CVE-2003-0493
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2003-06-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-08-24
  
• 厂        商：
  
  snitz_communications
• 漏洞来源：
  JeiAr jeiar@kmfms….

Snitz Forums是一款基于WEB的ASP脚本编写的论坛程序。
Snitz Forums在处理Cookie验证过程中存在问题，远程攻击者利用这个漏洞可以绕过验证，无需密码以其他用户权限登录系统。
攻击者只要知道其他用户加密密码信息，就可以利用密码HASH信息，修改Cookie值，无需密码访问应用系统。攻击者可以利用跨站脚本攻击获得此信息，以自己帐户获得合法会话ID，然后修改用户名和加密密码信息来进行登录。

厂商补丁：
Snitz Forums 2000
—————–
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://forum.snitz.com/” target=”_blank”>
http://forum.snitz.com/

来源: BID
名称: 7924
链接:http://www.securityfocus.com/bid/7924

来源: BUGTRAQ
名称: 20030616 Multiple Vulnerabilities In Snitz Forums
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=105578322012128&w=2