Web Wiz Forum未授权版面访问漏洞

Web Wiz Forum未授权版面访问漏洞

发布时间：2003-11-04
更新时间：2003-11-04
严重程度：中
威胁程度：控制应用程序系统
错误类型：访问验证错误
利用方式：服务器模式

BUGTRAQ ID：8957

受影响系统

    Web Wiz Forums Web Wiz Forums 6.34
    Web Wiz Forums Web Wiz Forums 7.0 1
    Web Wiz Forums Web Wiz Forums 7.5

详细描述
Web Wiz Forum存在漏洞可导致未授权访问保密论坛。问题是在使用'quote'模式时存在问题，提交畸形请求可绕过论坛程序的检查，可导致读取和写保密论坛。

测试代码
http://www.example.com/post_message_form.asp?mode=quote&PID=1111&FID=1&TID=11&TPN=1

解决方案
升级程序 ：

Web Wiz Forums Web Wiz Forums 6.34:

Web Wiz Forums Upgrade Web Wiz Forums 7.51
http://www.webwizforums.com

Web Wiz Forums Web Wiz Forums 7.0 1:

Web Wiz Forums Upgrade Web Wiz Forums 7.51
http://www.webwizforums.com

Web Wiz Forums Web Wiz Forums 7.5:

Web Wiz Forums Upgrade Web Wiz Forums 7.51
http://www.webwizforums.com

相关信息
"Alexander Antipov" <[email protected]>.
参考：http://www.securityfocus.com/archive/1/343175
相关主页：http://www.webwizforums.com/