添加时间:
2005-08-15

系统编号:
WAVDB-00298
BUGTRAQ: 7532

影响版本:
MiniPortail 1.9-2.2

程序介绍:

MiniPortail是一款不需要数据库支持的自动网站构建系统。

漏洞分析:

MiniPortail使用的验证过程存在设计问题，远程攻击者可以利用这个漏洞无需验证以管理员权限访问MiniPortail应用系统。
MiniPortail在管理员登录进行验证的时候，仅仅检查Cookie数据中是否包含 adminok 值，攻击者只要设置名为miniPortailAdmin的Cookie，并设置值为 adminok ，就可以无需验证以管理员权限访问系统。

解决方案:
如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：
* 第三方补丁如下：
http://www.comscripts.com/scripts/?script=1133

厂商补丁：
MiniPortail
-----------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.aldweb.com/

信息来源:
<*来源：Frog Man （leseulfrog@hotmail.com）
链接：http://marc.theaimsgroup.com/?l=bugtraq&m=105240907024660&w=2
*>