Ecartis隐藏表单字段密码修改漏洞 CVE-2003-0162 CNNVD-200304-053

7.5 AV AC AU C I A
发布: 2003-04-02
修订: 2017-07-11

Ecartis是一款基于WEB的电子商务程序。 Ecartis不正确处理隐藏的表单内容,远程攻击者可以利用这个漏洞以高权限用户身份登录和修改任意用户密码。 在以非特权用户登录系统后,Ecartis会让用户更改密码,但是没有要求输入旧的密码,HTML页面把用户名包含在\"hidden\"字段中,在保存到硬盘后,以其他用户名代替所有\"hidden\"字段,再次重载页面可以更改其他用户密码。

0%

漏洞利用/PoC

暂无可用Exp或PoC

受影响的平台与产品

当前有1条受影响产品信息