漏洞信息详情
Hesk会话绕过身份验证漏洞
- CNNVD编号:CNNVD-200509-215
- 危害等级: 高危
- CVE编号:
CVE-2005-3005
- 漏洞类型:
访问验证错误
- 发布时间:
2005-09-21
- 威胁类型:
远程
- 更新时间:
2006-01-19
- 厂 商:
helpdesk_software - 漏洞来源:
Rajesh Sethumadhav… -
漏洞简介
Hesk是一套免费的PHP帮助台软件。该软件支持为网站建立一个基于Web的票务支持系统(服务台),并通过Web界面来管理客户请求。
Helpdesk Software Hesk中,远程攻击者可以修改PHPSESSID会话ID参数或cookie,从而绕过(1)admin.php和(2)admin_main.php模块的身份验证。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
Hesk Hesk 0.92
Hesk hesk0931.zip
http://www.phpjunkyard.com/download.php?script=hesk
Hesk Hesk 0.93
Hesk hesk0931.zip
参考网址
来源: BID
名称: 14879
链接:http://www.securityfocus.com/bid/14879
来源: www.phpjunkyard.com
链接:http://www.phpjunkyard.com/extras/hesk_0931_patch.zip
来源: VUPEN
名称: ADV-2005-1792
链接:http://www.frsirt.com/english/advisories/2005/1792
来源: SECUNIA
名称: 16859
链接:http://secunia.com/advisories/16859
来源: BUGTRAQ
名称: 20050920 Hesk Session ID Validation Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112724743530521&w=2
来源: BUGTRAQ
名称: 20050920 Hesk Session ID Validation Vulnerability
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112724743530521&w=2