Falt4 CMS RC "admin/index.php" 跨站请求伪造漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1183626 漏洞类型 跨站请求伪造
发布时间 2009-02-19 更新时间 2009-02-19
CVE编号 CVE-2009-0648 CNNVD-ID CNNVD-200902-423
漏洞平台 N/A CVSS评分 6.8
|漏洞来源
https://www.securityfocus.com/bid/79605
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200902-423
|漏洞详情
Falt4CMS(又称Falt4Extreme)RC是一个免费的WEB内容管理系统,旨在供中小型站点使用,该系统含有许多模块和一些供日常使用的核心功能。易于使用,即使是没有什么建站经验的人也可以很容易地使用。Falt4CMS(又称Falt4Extreme)脚本admin/index.php中的manage_users处理程序存在多个跨站请求伪造漏洞。远程攻击者可以借助(1)编辑操作和(2)edit_now操作,劫持管理员请求修改密码的权限。
|受影响的产品
Falt4 Falt4 Extreme RC4
|参考资料

来源:XF
名称:falt4-unspecified-csrf(48786)
链接:http://xforce.iss.net/xforce/xfdb/48786
来源:SECUNIA
名称:33973
链接:http://secunia.com/advisories/33973
来源:MISC
链接:http://packetstorm.linuxsecurity.com/0902-exploits/falt4-cms-xsrf.txt