漏洞标题
N/A
漏洞描述信息
X-News (x_news) 1.1 及更早版本允许攻击者通过获取密码的 MD5 摘要校验码来验证其他用户身份,例如通过拦截或用户.txt 数据文件并将其存储在cookie中。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
X-News (x_news) 1.1 and earlier allows attackers to authenticate as other users by obtaining the MD5 checksum of the password, e.g. via sniffing or the users.txt data file, and providing it in a cookie.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
X-News不安全用户数据库权限漏洞
漏洞描述信息
X-News是一款由PHP语言编写的新闻管理系统,X-News使用文件数据库形式存储信息,可以运行在多种Unix和Linux操作系统下,也运行在Microsoft windows操作系统平台下。 X-News由于设计错误,把用户用于认证的敏感信息以全局可读形式存储在文件中,可导致本地用户获得这些敏感信息。X-News把用户ID和MD5散列(hashes)信息存储在全局可读的db/users.txt文件中,这些信息等同与用于X-News基于COOKIE认证的信任书中的信息,本地用户可以把这些敏感信息组合在C
CVSS信息
N/A
漏洞类别
授权问题