VULHUB ™

SQL-Ledger是一款开源的ERP系统。 SQL-Ledger验证机制实现存在错误，远程攻击者可以利用漏洞未授权访问应用程序。 SQL-Ledger使用的会话验证存在问题，当用户登录时，会检查密码信息，如果匹配users/members文件中的内容，那么就生成会话ID并在WEB浏览器上处理。验证所需只要简单在COOKIE中指定&quot;sql-ledger-[username]&quot;名和[timestamp]值，并且这个值匹配通过GET或POST操作传递的&quot;sessionid&quot;值。[username]是登录的用户名，[timestamp]是UNIX时间戳。 SQL-Ledger &lt;= 2.6.17 <a href="Http://www.metatrontech.com/downloads/sql-ledger-fix-CVE-2006-4244.tar.gz" target="_blank">Http://www.metatrontech.com/downloads/sql-ledger-fix-CVE-2006-4244.tar.gz</a>

SQL-Ledger是一款开源的ERP系统。 SQL-Ledger验证机制实现存在错误，远程攻击者可以利用漏洞未授权访问应用程序。 SQL-Ledger使用的会话验证存在问题，当用户登录时，会检查密码信息，如果匹配users/members文件中的内容，那么就生成会话ID并在WEB浏览器上处理。验证所需只要简单在COOKIE中指定&quot;sql-ledger-[username]&quot;名和[timestamp]值，并且这个值匹配通过GET或POST操作传递的&quot;sessionid&quot;值。[username]是登录的用户名，[timestamp]是UNIX时间戳。 SQL-Ledger &lt;= 2.6.17 <a href="Http://www.metatrontech.com/downloads/sql-ledger-fix-CVE-2006-4244.tar.gz" target="_blank">Http://www.metatrontech.com/downloads/sql-ledger-fix-CVE-2006-4244.tar.gz</a>