漏洞标题
N/A
漏洞描述信息
在Almacon OpenCms 6.2.2之前的系统/工作区/视图/admin/admin-main.jsp 并没有限制管理员功能的访问,这允许远程授权的用户(1)向所有用户发送广播消息(/workplace/broadcast)、(2)列出所有用户(/accounts/users)、(3)添加 webusers(/accounts/webusers/new)、(4)上传数据库导入和导出文件(/database/importhttp)、(5)上传任意程序模块(/modules/modules_import)以及(6)通过在向 admin-main.jsp 的直接请求中设置适当的路径参数读取日志文件(/workplace/logfileview)。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
system/workplace/views/admin/admin-main.jsp in Alkacon OpenCms before 6.2.2 does not restrict access to administrator functions, which allows remote authenticated users to (1) send broadcast messages to all users (/workplace/broadcast), (2) list all users (/accounts/users), (3) add webusers (/accounts/webusers/new), (4) upload database import and export files (/database/importhttp), (5) upload arbitrary program modules (/modules/modules_import), and (6) read the log file (/workplace/logfileview) by setting the appropriate value for the path parameter in a direct request to admin-main.jsp.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Alkacon OpenCms 'admin-main.jsp' 安全访问漏洞
漏洞描述信息
Alkacon OpenCms 6.2.2之前版本中的system/workplace/views/admin/admin-main.jsp不限制对管理员功能的访问,远程认证用户可以通过在对admin-main.jsp的直接请求中设置适合path参数的值,来(1) 对所有用户发送广播消息(/workplace/broadcast), (2)列出所有用户(/accounts/users), (3) 添加web用户 (/accounts/webusers/new), (4) 上传数据库导入和导出文件(/dat
CVSS信息
N/A
漏洞类别
授权问题