漏洞标题
N/A
漏洞描述信息
在20030227个 snapshot 之前,Ecartis 1.0.0(原称列表)允许远程攻击者重置其他用户的密码,并通过修改 HTML 页面中的隐藏表单字段来获得权限。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Ecartis 1.0.0 (formerly listar) before snapshot 20030227 allows remote attackers to reset passwords of other users and gain privileges by modifying hidden form fields in the HTML page.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ecartis隐藏表单字段密码修改漏洞
漏洞描述信息
Ecartis是一款基于WEB的电子商务程序。 Ecartis不正确处理隐藏的表单内容,远程攻击者可以利用这个漏洞以高权限用户身份登录和修改任意用户密码。 在以非特权用户登录系统后,Ecartis会让用户更改密码,但是没有要求输入旧的密码,HTML页面把用户名包含在"hidden"字段中,在保存到硬盘后,以其他用户名代替所有"hidden"字段,再次重载页面可以更改其他用户密码。
CVSS信息
N/A
漏洞类别
授权问题