VULHUB ™

### 简要描述： ecshop在设计认证机制的时候存在一个问题，导致恶意用户可以窃取其他用户的密码 ### 详细说明： 在ecshop的权限机制当中修改密码是需要知道原密码的，但是修改用于取回密码的Email却不需要任何其他的限制，是一个典型的设计错误，成功利用此漏洞可以修改其他用户的密码 ### 漏洞证明： 1 构建html页面和修改email的参数诱骗用户访问 2 通过修改的email找回密码即可获得其他用户的权限

### 简要描述： ecshop在设计认证机制的时候存在一个问题，导致恶意用户可以窃取其他用户的密码 ### 详细说明： 在ecshop的权限机制当中修改密码是需要知道原密码的，但是修改用于取回密码的Email却不需要任何其他的限制，是一个典型的设计错误，成功利用此漏洞可以修改其他用户的密码 ### 漏洞证明： 1 构建html页面和修改email的参数诱骗用户访问 2 通过修改的email找回密码即可获得其他用户的权限