一、 漏洞 CVE-2017-15052 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在TeamPass 2.1.27.9之前,在请求用户.queries.php时,没有正确执行管理器访问控制。因此,管理器用户有可能删除任意用户(包括管理员),或者修改除管理员以外的任意用户的属性。要利用这个漏洞,验证过的攻击者必须在应用程序上拥有管理器权限,然后直接修改请求,例如在调用用户.queries.php上的“delete_user”函数时更改“id”参数。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
TeamPass before 2.1.27.9 does not properly enforce manager access control when requesting users.queries.php. It is then possible for a manager user to delete an arbitrary user (including admin), or modify attributes of any arbitrary user except administrator. To exploit the vulnerability, an authenticated attacker must have the manager rights on the application, then tamper with the requests sent directly, for example by changing the "id" parameter when invoking "delete_user" on users.queries.php.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
TeamPass 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
TeamPass是一款专用于Apache、MySQL和PHP中的密码管理器。 TeamPass 2.1.27.9之前的版本中存在安全漏洞,该漏洞源于程序没有正确的强制执行管理员访问控制。攻击者可通过获取管理员权限,并篡改请求利用该漏洞删除任意用户(包括:管理员用户)或更改任意用户的属性(不包括:管理员用户)。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-15052 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2017-15052 的情报信息