MRCGIGUY The Ticket System 2.0版本的admin.php没有适当地限制访问权,远程攻击者(1)可以借助editconfig操作获得敏感配置信息,或(2)可以借助editop操作中的id参数,改变管理员密码。