漏洞标题
N/A
漏洞描述信息
gps-server.net GPS 跟踪软件(自托管)2.x 有一个密码重置程序,在未验证请求时立即重置密码,然后向管理员发送一个可预测(基于日期)的密码的电子邮件,这使远程攻击者通过预测新密码来获得访问更容易。这与fn_connect.php中使用gmdate进行密码创建有关。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
gps-server.net GPS Tracking Software (self hosted) 2.x has a password reset procedure that immediately resets passwords upon an unauthenticated request, and then sends e-mail with a predictable (date-based) password to the admin, which makes it easier for remote attackers to obtain access by predicting this new password. This is related to the use of gmdate for password creation in fn_connect.php.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
gps-server.net GPS Tracking Software(self hosted)安全漏洞
漏洞描述信息
gps-server.net GPS Tracking Software(self hosted)是一款GPS定位跟踪程序。该程序能够管理跟踪历史、报告、事件和通知等。 gps-server.net GPS Tracking Software(self hosted)2.x版本中存在安全漏洞,该漏洞源于程序可借助未认证的请求重置密码,并向管理员发送带有可预测密码的邮件。远程攻击者可通过预测新密码利用该漏洞获取访问权限。
CVSS信息
N/A
漏洞类别
授权问题