Gregory Kokanosky phpMyNewsletter 'send_mod.php'身份认证绕过漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1190761 漏洞类型 输入验证
发布时间 2007-04-30 更新时间 2007-05-08
CVE编号 CVE-2007-2372 CNNVD-ID CNNVD-200704-624
漏洞平台 N/A CVSS评分 10.0
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200704-624
|漏洞详情
当管理证书丢失时,GregoryKokanoskyphpMyNewsletter中的admin/send_mod.php文件会在不退出的情况下打印Location标头,这使得远程攻击者可以借助带有主题、信息、格式和列表ID字段的POST来组成一个电子邮件信息,然后再借助一个对admin/下的MsgId值的直接请求,发送该信息。
|参考资料

来源:BID
名称:23342
链接:http://www.securityfocus.com/bid/23342
来源:MILW0RM
名称:3671
链接:http://www.milw0rm.com/exploits/3671