ACal.Calendar.Cookie.Based.Authentication.Bypass
- 特征库ID:
15544
- 漏洞级别:
高
- CVE ID:
2006-0182
- 建议的动作:
全部屏蔽
- 受影响的系统:
Windows, Linux, BSD, Solaris, MacOS
- 协议:
TCP, HTTP
攻击漏洞描述
该漏洞是由“login.php"脚本中的错误引起。该脚本依赖于“ACalAuthenticate”cookie参数来确定用户是否已成功进行身份验证。远程攻击者通过设置“ACalAuthenticate”参数为“inside”利用该漏洞绕过身份认证过程在未经授权的情况下可以访问应用程序。
影响范围
ACal Project 2.2.5版本
可能带来的后果
远程攻击者可以绕过系统身份认证在未经授权的情况下访问应用程序
解决办法
升级至最新版本 (2.2.6 or later):
http://sourceforge.net/projects/acalproj.
