Adobe LiveCycle "OBSOLETE"用户信息泄露漏洞

CNNVD-ID编号 CNNVD-200604-213
CVE编号 CVE-2006-1628
发布时间 2006-04-13
更新时间 2006-04-14
漏洞类型 访问验证错误
漏洞来源 Adobe PSIRT@adobe.com
危险等级 中危
威胁类型 远程
厂 商 adobe

漏洞介绍

Adobe LiveCycle软件简化不同系统、业务规则和部门之间的业务流程并实现业务流程的自动化。

Adobe LiveCycle访问控制的实现上存在漏洞,远程攻击可能获取非授权的访问。

如果用户在认证系统(LDAP、活动目录、eDirectory)中是活动的话,则即使在LiveCycle User Manager表中已经过期,该用户仍可以成功的认证到LiveCycle Workflow或LiveCycle Form Manager。在一些情况下在LDAP中为活动但在LiveCycle中已过期的用户可以访问该用户被标记为OBSOLETE之前可用的资源。

漏洞补丁

目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:

参考网址

受影响实体

信息来源