漏洞标题
N/A
漏洞描述信息
在 JanRain 的 PHP OpenID 库(aka php-openid)中,openid.realm 参数未能正确检查到 SERVER 超全局数组中的 SERVER_NAME 元素,这可能导致远程攻击者通过构造的 HTTP 主机头 vectors 来截取任意用户的认证。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
examples/consumer/common.php in JanRain PHP OpenID library (aka php-openid) improperly checks the openid.realm parameter against the SERVER_NAME element in the SERVER superglobal array, which might allow remote attackers to hijack the authentication of arbitrary users via vectors involving a crafted HTTP Host header.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
JanRain PHP OpenID library 安全漏洞
漏洞描述信息
JanRain PHP OpenID library(又名php-openid)是美国JanRain公司的一个PHP5的OpenID(以用户为中心的数字身份识别框架)库。 JanRain PHP OpenID library的examples/consumer/common.php文件中存在安全漏洞,该漏洞源于程序没有正确检查通过SERVER_NAME元素发送的‘openid.realm’参数。远程攻击者可通过修改Host HTTP头利用该漏洞访问用户账户。
CVSS信息
N/A
漏洞类别
授权问题