CRE Loaded授权问题漏洞

漏洞信息详情

CRE Loaded授权问题漏洞

• CNNVD编号：CNNVD-201106-074
• 危害等级： 高危
  
  
• CVE编号：
  CVE-2009-5076
  
• 漏洞类型：
  
  
  授权问题
  
• 发布时间：
  
  2011-06-09
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2011-06-09
  
• 厂        商：
  
  creloaded
• 漏洞来源：

CRE Loaded是一个可扩展的电子商务购物平台，主要用于愿意在网络上从事服务的店主开发相关电子商务网站。

CRE Loaded 6.2.14之前版本及6.3.x之前的其他版本中存在授权问题漏洞。远程攻击者可以通过把(1)login.php或(2)password_forgotten.php作为附加参数PATH_INFO的请求，绕过认证并获得管理员权限，该请求可以绕过使用PHP_SELF的检查，而这个检查不能被(a)includes/application_top.php和(b)admin/includes/application_top.php正确执行。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://hosting-4-creloaded.com/node/116

来源: www.creloaded.com

链接:https://www.creloaded.com/fdm_file_detail.php?file_id=191

来源: hosting-4-creloaded.com

链接:http://hosting-4-creloaded.com/node/116