| 关键词: 漏洞 后台 优格 文件 用户 补丁 从而 验证 管理员 身份 |
漏洞发现:优格 www.wuzhou.org受影响版本:启航工作室WMS 5.0网站程序(5月28日止版本)厂商网址:http;//www.sailingsoft.net漏洞信息:该程序没有进行严格的密码验证,从而使用户饶过验证,达到管理身份.漏洞利用一:在知道后台普通用户权限的情况下,进行cookie欺骗,修改admintype,以及超级管理员名字(默认为admin),就可以修改后台的上传类型,从而使用户上传asp等非法文件。漏洞利用二:不知道后台用户名的情况下。只要默认管理身份没有修改,比如默认超级管理员名字admin,对后台进行欺骗,直接修改上传文件为asp文件。厂商补丁: 已通知官方网站,目前补丁已在其网站提供下载 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|