CitrusDB远程认证绕过漏洞 CVE-2005-0408 CNNVD-200502-050

7.5 AV AC AU C I A
发布: 2005-02-14
修订: 2024-02-09

CitrusDB 是一个基于Web的客户关系维护和账单管理解决方案。 CitrusDB 0.3.6及更早版本会为id_hash cookie生成易于预测的用户名MD5散列,这可让远程攻击者绕过认证,并通过计算用户名与\"boogaadeeboo\"字符串组合的MD5校验和来获取特权,这是在$hidden_hash变量中硬编码的。

0%

漏洞利用/PoC

当前有3条漏洞利用/PoC

受影响的平台与产品

当前有1条受影响产品信息