CNNVD-ID编号 | CNNVD-200607-514 |
CVE编号 | CVE-2006-3935 |
发布时间 | 2006-07-31 |
更新时间 | 2006-08-02 |
漏洞类型 | 未知 |
漏洞来源 | N/A |
危险等级 | 中危 |
威胁类型 | 远程 |
厂 商 | alkacon |
Alkacon OpenCms 6.2.2之前版本中的system/workplace/views/admin/admin-main.jsp不限制对管理员功能的访问,远程认证用户可以通过在对admin-main.jsp的直接请求中设置适合path参数的值,来(1) 对所有用户发送广播消息(/workplace/broadcast), (2)列出所有用户(/accounts/users), (3) 添加web用户 (/accounts/webusers/new), (4) 上传数据库导入和导出文件(/database/importhttp), (5) 上传任意程序模块(/modules/modules_import),以及(6)读取日志文件 (/workplace/logfileview) 。
来源: XF
名称: opencms-adminmain-obtain-information(28036)
来源: XF
名称: opencms-adminmain-message-broadcast(28031)
来源: XF
名称: opencms-adminmain-database-file-upload(28026)
来源: XF
名称: opencms-adminmain-module-upload(28010)
来源: XF
名称: opencms-adminmain-file-access(27996)
来源: MISC
来源: MISC
链接:http://www.opencms.org/export/download/opencms/opencms_6.2.2_src.zip
来源: SECUNIA
名称: 21193
来源: MISC
链接:http://o0o.nu/~meder/OpenCMS_multiple_vulnerabilities.txt
来源: XF
名称: opencms-adminmain-account-creation(28003)
来源: BUGTRAQ
名称: 20060726 Multiple vulnerabilities in OpenCMS
链接:http://www.securityfocus.com/archive/1/archive/1/441182/100/0/threaded