漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2013-017922
漏洞标题:PHPMyWind后台一处登录自动全球同步登录!
相关厂商:PHPMyWind
漏洞作者: Zeb
提交时间:2013-01-28 12:23
修复时间:2013-03-14 12:24
公开时间:2013-03-14 12:24
漏洞类型:设计错误/逻辑缺陷
危害等级:中
自评Rank:15
漏洞状态:未联系到厂商或者厂商积极忽略
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2013-01-28: 积极联系厂商并且等待厂商认领中,细节不对外公开
2013-03-14: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
PHPMyWind的后台只需要在一个地方登录了,便实现了自动在全球同步登录。只要网站管理员在一台计算机上登录了管理后台,则不限浏览器,不限终端设备,只要知道后台路径便能登录后台进行网站的管理。在本机上跨浏览器进行测试,亦可同步登录退出。
详细说明:
下载4.6.0版本的PHPMyWind后,安装(包含测试数据),完成后在Chrome中登录后台,复制后台地址备用。(本地地址http://127.0.0.1/phpmywind/admin/)
打卡IE,清空缓存,输入上面复制的地址(http://127.0.0.1/phpmywind/admin/),轻轻一按回车,全自动登录,无需帐号密码。
漏洞证明:
涉及到网站安全,短时间内提供测试地址http://phpmywind.jycz.tk/admin/ 若已被退出使用帐号密码admin,请勿修改相关信息。
修复方案:
暂无。
版权声明:转载请注明来源 Zeb@乌云
漏洞回应
厂商回应:
未能联系到厂商或者厂商积极拒绝