漏洞标题
N/A
漏洞描述信息
php-Nuke 6.0 至 7.9 中的 CAPTCHA 功能使用固定的挑战/响应对,它们根据用户代理 (HTTP_USER_AGENT) 每天都会变化一次,这允许远程攻击者通过固定用户代理、执行有效挑战/响应,然后将其 replay 到随机数和 gfx_check 参数中绕过 CAPTCHA 控制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The CAPTCHA functionality in php-Nuke 6.0 through 7.9 uses fixed challenge/response pairs that only vary once per day based on the User Agent (HTTP_USER_AGENT), which allows remote attackers to bypass CAPTCHA controls by fixing the User Agent, performing a valid challenge/response, then replaying that pair in the random_num and gfx_check parameters.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PHPNuke 安全绕过漏洞
漏洞描述信息
php-Nuke 6.0到7.9的CAPTCHA功能使用固定的挑战/响应对(基于User Agent (HTTP_USER_AGENT)一天只改变一次),从而使得远程攻击者可以通过固定User Agent,执行有效的挑战/响应,然后在random_num和gfx_check参数中重复执行该挑战/响应对来绕过CAPTCHA控件。
CVSS信息
N/A
漏洞类别
授权问题