Hesk会话绕过身份验证漏洞

漏洞信息详情

Hesk会话绕过身份验证漏洞

漏洞简介

Hesk是一套免费的PHP帮助台软件。该软件支持为网站建立一个基于Web的票务支持系统(服务台),并通过Web界面来管理客户请求。

Helpdesk Software Hesk中,远程攻击者可以修改PHPSESSID会话ID参数或cookie,从而绕过(1)admin.php和(2)admin_main.php模块的身份验证。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:

Hesk Hesk 0.92

Hesk hesk0931.zip

http://www.phpjunkyard.com/download.php?script=hesk

Hesk Hesk 0.93

Hesk hesk0931.zip

http://www.phpjunkyard.com/download.php?script=hesk

参考网址

来源: BID

名称: 14879

链接:http://www.securityfocus.com/bid/14879

来源: www.phpjunkyard.com

链接:http://www.phpjunkyard.com/extras/hesk_0931_patch.zip

来源: VUPEN

名称: ADV-2005-1792

链接:http://www.frsirt.com/english/advisories/2005/1792

来源: SECUNIA

名称: 16859

链接:http://secunia.com/advisories/16859

来源: BUGTRAQ

名称: 20050920 Hesk Session ID Validation Vulnerability

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112724743530521&w=2

来源: BUGTRAQ

名称: 20050920 Hesk Session ID Validation Vulnerability

链接:http://marc.theaimsgroup.com/?l=bugtraq&m=112724743530521&w=2

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享