漏洞标题
N/A
漏洞描述信息
Joovili 3.1.4 允许远程攻击者绕过身份验证,并以其他用户,包括管理员的身份获得权限。通过设置 (1) 会话 ID、会话登录和会话用户名 cookie,以用户权限;(2) 会话管理员 ID、会话管理员用户名和会话管理员 cookie,以管理员权限;以及 (3) 会话员工 ID、会话员工用户名和会话员工 cookie,以员工用户。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Joovili 3.1.4 allows remote attackers to bypass authentication and gain privileges as other users, including the administrator, by setting the (1) session_id, session_logged_in, and session_username cookies for user privileges; (2) session_admin_id, session_admin_username, and session_admin cookies for admin privileges; and (3) session_staff_id, session_staff_username, and session_staff cookies for staff users.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Joovili Cookie 权限绕过漏洞
漏洞描述信息
Joovili是一款社交网络软件。 Joovili 3.1.4版本允许远程攻击者通过设置(1)session_id,session_logged_in,以及对用户特权的session_username cookies;(2)session_admin_id,session_admin_username,和对管理特权的session_admin cookies;以及(3)session_staff_id,session_staff_username,和对staff用户的session_staff cooki
CVSS信息
N/A
漏洞类别
授权问题