Alkacon OpenCms 'admin-main.jsp' 安全访问漏洞

CNNVD-ID编号 CNNVD-200607-514
CVE编号 CVE-2006-3935
发布时间 2006-07-31
更新时间 2006-08-02
漏洞类型 未知
漏洞来源 N/A
危险等级 中危
威胁类型 远程
厂 商 alkacon

漏洞介绍

Alkacon OpenCms 6.2.2之前版本中的system/workplace/views/admin/admin-main.jsp不限制对管理员功能的访问,远程认证用户可以通过在对admin-main.jsp的直接请求中设置适合path参数的值,来(1) 对所有用户发送广播消息(/workplace/broadcast), (2)列出所有用户(/accounts/users), (3) 添加web用户 (/accounts/webusers/new), (4) 上传数据库导入和导出文件(/database/importhttp), (5) 上传任意程序模块(/modules/modules_import),以及(6)读取日志文件 (/workplace/logfileview) 。

漏洞补丁

目前暂无Alkacon OpenCms 'admin-main.jsp' 安全访问漏洞的补丁信息,如Alkacon OpenCms 'admin-main.jsp' 安全访问漏洞补丁信息有更新,便会立即同步;

参考网址

受影响实体

信息来源