DropAFew 特权操作输入错误漏洞

漏洞信息详情

DropAFew 特权操作输入错误漏洞

• CNNVD编号：CNNVD-200704-180
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-1364
  
• 漏洞类型：
  
  
  输入验证
  
• 发布时间：
  
  2007-04-11
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-08-02
  
• 厂        商：
  
  dropafew
• 漏洞来源：
  Alexander Klink is…

DropAFew 0.2.1之前版本没有对特定的特权操作进行权限检查，这使得远程攻击者可以(1)借助editlogcal.php文件中的id参数，查看任意用户的登录的calorie信息；(2)借助links.php，添加任意链接或(3)借助newaccount2.php，创建任意用户。

来源: www.dropafew.com

链接:http://www.dropafew.com/sphpblog/comments.php?y=07&m=04&entry=entry070403-224437

来源: MISC

名称: https://www.cynops.de/advisories/CVE-2007-1363.txt

链接:https://www.cynops.de/advisories/CVE-2007-1363.txt

来源: XF

名称: dropafew-editlogcal-information-disclosure(33561)

链接:http://xforce.iss.net/xforce/xfdb/33561

来源: BID

名称: 23400

链接:http://www.securityfocus.com/bid/23400

来源: SECUNIA

名称: 24861

链接:http://secunia.com/advisories/24861