漏洞标题
N/A
漏洞描述信息
在OneOrZero Helpdesk 1.6.5.4之前,"忘记密码"功能通过将当前时间戳与用户名拼接生成不安全的密码,这允许远程攻击者以任意用户身份访问系统,通过请求密码重置。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The "forgot password" function in OneOrZero Helpdesk before 1.6.5.4 generates insecure passwords by concatenating the current timestamp with the username, which allows remote attackers to gain access as an arbitrary user by requesting a password reset.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OneOrZero forgot password函数安全口令重置漏洞
漏洞描述信息
OneOrZero Helpdesk是一个PHP/MySQL帮助桌面软件。 OneOrZero生成访问口令的方式上存在漏洞,攻击者可以利用此漏洞推测出自动生成的口令。 OneOrZero的forgot password函数会在回答完安全问题后重置口令,默认下这个口令为空。用户可以通过重置管理员口令并保持回答为空强制重置口令。但是,由于口令重置函数是基于用户名和服务器时间来设置口令的,因此可以通过服务器的时间来判断所设置的口令。
CVSS信息
N/A
漏洞类别
配置错误