CuteFlow “edituser.php” biztonsági rés


2009. augusztus 23. 22:00

CH azonosító

CH-2429

Felfedezés dátuma

2009.08.23.

Súlyosság

Közepes

Érintett rendszerek

CuteFlow
N/A

Érintett verziók

N/A CuteFlow 2.x

Összefoglaló

Egy sérülékenységet jelentettek a CuteFlow-ban, amelyet kihasználva támadók megkerülhetnek bizonyos biztonsági előírásokat.

Leírás

Egy sérülékenységet jelentettek a CuteFlow-ban, amelyet kihasználva támadók megkerülhetnek bizonyos biztonsági előírásokat.

A sérülékenységet az okozza, hogy a pages/edituser.php script lehetővé teszi a felhasználói beállítások módosítását, a jogosultságok ellenőrzése nélkül. Ez kihasználható pl. az adminisztrátori jelszó megváltoztatására a script közvetlen elérésével.

A sérülékenységet a 2.11.0_c verzióban jelentették, de más kiadások is érintettek lehetnek.

Megoldás

Korlátozza a hozzáférést a pages/edituser.php scripthez (pl. .htaccess segítségével)!

Támadás típusa

Authentication Issues (Hitelesítés)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

SECUNIA 36349
CVE-2009-2960 - NVD CVE-2009-2960

Legfrissebb sérülékenységek
CVE-2026-20700 – Apple sebezhetőség
CVE-2026-21514 – Microsoft Office Word Reliance on Untrusted Inputs in a Security Decision sérülékenység
CVE-2026-21519 – Microsoft Windows Type Confusion sérülékenység
CVE-2026-21533 – Microsoft Windows Improper Privilege Management sérülékenység
CVE-2026-21510 – Microsoft Windows Shell Protection Mechanism Failure sérülékenység
CVE-2026-21525 – Microsoft Windows NULL Pointer Dereference sérülékenység
CVE-2026-21513 – Microsoft MSHTML Framework Protection Mechanism Failure sérülékenység
CVE-2026-1340 – Ivanti Endpoint Manager Mobile sérülékenység
CVE-2025-26385 – Johnson Controls Metasys command injection sérülékenység
CVE-2026-24423 – SmarterTools SmarterMail Missing Authentication for Critical Function sérülékenység
Tovább a sérülékenységekhez »