漏洞标题
N/A
漏洞描述信息
CMS Made Simple 1.1.3.1在某些情况下并不检查分配给用户的权限,这允许远程登录的用户执行一些管理员操作,如(1)通过直接请求添加用户到admin/adduser.php以及(2)通过"admin/adminlog.php?page=1"请求读取管理员日志。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
CMS Made Simple 1.1.3.1 does not check the permissions assigned to users in some situations, which allows remote authenticated users to perform some administrative actions, as demonstrated by (1) adding a user via a direct request to admin/adduser.php and (2) reading the admin log via an "admin/adminlog.php?page=1" request.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
CMS Made Simple 权限许可和访问控制漏洞
漏洞描述信息
CMS Made Simple 1.1.3.1 在一些情况下没有检测分配给用户的特权,这会允许远程验证用户执行一些管理操作,如(1) adding a user可以借助对admin/adduser.php提交的直接请求,添加用户,和(2)可以借助一个"admin/adminlog.php?page=1"请求,读取admin登录信息。
CVSS信息
N/A
漏洞类别
授权问题