CVE-2002-1830
CVSS5.0
发布时间 :2002-12-31 00:00:00
修订时间 :2016-10-17 22:27:34
NMCOE    

[原文]Open Bulletin Board (OpenBB) 1.0.0 RC3 allows remote attackers to bypass authentication and access modifier options via a direct request to moderator.php with the action and ismod parameters.


[CNNVD]OpenBB未授权管理员访问漏洞(CNNVD-200212-569)

        
        OpenBB是一款由PHP编写的Web论坛程序,可使用在Unix和Linux操作系统下,也可使用在Microsoft Windows操作系统下。
        OpenBB对用户提供给moderator.php脚本的数据未进行正确充分的检查,可导致远程攻击者未授权进行管理员操作。
        OpenBB对moderator.php脚本的操作没有很正确的限制,攻击者通过修改moderator.php脚本中几个属性,就可以未授权以管理员权限操作论坛功能。
        

- CVSS (基础分值)

CVSS分值: 5 [中等(MEDIUM)]
机密性影响: [--]
完整性影响: [--]
可用性影响: [--]
攻击复杂度: [--]
攻击向量: [--]
身份认证: [--]

- CPE (受影响的平台与产品)

cpe:/a:openbb:openbb:1.0.0_rc2
cpe:/a:openbb:openbb:1.0.0_rc1
cpe:/a:openbb:openbb:1.0.0_rc3

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-1830
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-1830
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200212-569
(官方数据源) CNNVD

- 其它链接及资源

http://marc.info/?l=vuln-dev&m=102221487407632&w=2
(UNKNOWN)  VULN-DEV  20020523 Security holes in OpenBB
http://www.iss.net/security_center/static/9160.php
(UNKNOWN)  XF  openbb-admin-access(9160)
http://www.securityfocus.com/bid/4823
(UNKNOWN)  BID  4823

- 漏洞信息

OpenBB未授权管理员访问漏洞
中危 输入验证
2002-12-31 00:00:00 2005-10-20 00:00:00
远程  
        
        OpenBB是一款由PHP编写的Web论坛程序,可使用在Unix和Linux操作系统下,也可使用在Microsoft Windows操作系统下。
        OpenBB对用户提供给moderator.php脚本的数据未进行正确充分的检查,可导致远程攻击者未授权进行管理员操作。
        OpenBB对moderator.php脚本的操作没有很正确的限制,攻击者通过修改moderator.php脚本中几个属性,就可以未授权以管理员权限操作论坛功能。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 设置浏览器,关闭JavaScript功能。
        * 修改程序,严格过滤用户输入的数据。
        厂商补丁:
        OpenBB
        ------
        目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://www.prolixmedia.com/

- 漏洞信息 (21478)

OpenBB 1.0 Unauthorized Moderator Access Vulnerability (EDBID:21478)
php webapps
2002-05-24 Verified
0 frog
N/A [点击下载]
source: http://www.securityfocus.com/bid/4823/info

OpenBB is web forum software written in PHP. It will run on most Linux and Unix variants, in addition to Microsoft Windows operating systems.

OpenBB is reported to be vulnerable to a condition that will allow an unauthorized user to gain moderator or administrative access to forums. The attacker is only able to change a few properties of the forums. 

http://www.site.com/moderator.php?action=lock&TID=LIDDUFORUM&ismod=1

This will lock the forum. Other keywords include 'action=sticky' or 'action=important'.		

- 漏洞信息

5662
OpenBB moderator.php Unauthorized Administrator Access
Remote / Network Access Input Manipulation
Loss of Confidentiality, Loss of Integrity
Exploit Public

- 漏洞描述

OpenBB contains a flaw that may allow a remote attacker to gain unauthorized administrative access. The issue is due to the moderator.php script not properly validating user input allowing administrative commands to be executed.

- 时间线

2002-05-23 Unknow
2002-05-23 Unknow

- 解决方案

Currently, there are no known upgrades, patches, or workarounds available to correct this issue.

- 相关参考

- 漏洞作者

 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站