Hesk会话绕过身份验证漏洞

漏洞信息详情

Hesk会话绕过身份验证漏洞

• CNNVD编号：CNNVD-200509-215
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2005-3005
  
• 漏洞类型：
  
  
  访问验证错误
  
• 发布时间：
  
  2005-09-21
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2006-01-19
  
• 厂        商：
  
  helpdesk_software
• 漏洞来源：
  Rajesh Sethumadhav…

Hesk是一套免费的PHP帮助台软件。该软件支持为网站建立一个基于Web的票务支持系统（服务台），并通过Web界面来管理客户请求。

Helpdesk Software Hesk中，远程攻击者可以修改PHPSESSID会话ID参数或cookie，从而绕过(1)admin.php和(2)admin_main.php模块的身份验证。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

Hesk Hesk 0.92

Hesk hesk0931.zip

http://www.phpjunkyard.com/download.php?script=hesk

Hesk Hesk 0.93

Hesk hesk0931.zip

http://www.phpjunkyard.com/download.php?script=hesk

来源: BID

名称: 14879

链接:http://www.securityfocus.com/bid/14879

来源: www.phpjunkyard.com

链接:http://www.phpjunkyard.com/extras/hesk_0931_patch.zip

来源: VUPEN

名称: ADV-2005-1792

链接:http://www.frsirt.com/english/advisories/2005/1792

来源: SECUNIA

名称: 16859

链接:http://secunia.com/advisories/16859

来源: BUGTRAQ

名称: 20050920 Hesk Session ID Validation Vulnerability

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112724743530521&w=2

来源: BUGTRAQ

名称: 20050920 Hesk Session ID Validation Vulnerability

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112724743530521&w=2