xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
English Version

Web Wiz Forum未授权版面访问漏洞


发布时间:2003-11-04
更新时间:2003-11-04
严重程度:
威胁程度:控制应用程序系统
错误类型:访问验证错误
利用方式:服务器模式

BUGTRAQ ID:8957

受影响系统
Web Wiz Forums Web Wiz Forums 6.34
Web Wiz Forums Web Wiz Forums 7.0 1
Web Wiz Forums Web Wiz Forums 7.5
详细描述
Web Wiz Forum存在漏洞可导致未授权访问保密论坛。问题是在使用'quote'模式时存在问题,提交畸形请求可绕过论坛程序的检查,可导致读取和写保密论坛。

测试代码
http://www.example.com/post_message_form.asp?mode=quote&PID=1111&FID=1&TID=11&TPN=1

解决方案
升级程序 :

Web Wiz Forums Web Wiz Forums 6.34:

Web Wiz Forums Upgrade Web Wiz Forums 7.51
http://www.webwizforums.com

Web Wiz Forums Web Wiz Forums 7.0 1:

Web Wiz Forums Upgrade Web Wiz Forums 7.51
http://www.webwizforums.com

Web Wiz Forums Web Wiz Forums 7.5:

Web Wiz Forums Upgrade Web Wiz Forums 7.51
http://www.webwizforums.com

相关信息
"Alexander Antipov" <pk95@yandex.ru>.
参考:http://www.securityfocus.com/archive/1/343175
相关主页:http://www.webwizforums.com/