添加时间:
2005-08-11

系统编号:
WAVDB-00050

影响版本:
LvBBS 2.2 ACCESS

程序介绍:

LvBBS是国内较为流行的论坛系统之一。

漏洞分析:

Public_Cls.asp中的If MemberPass=Lcase(Session(CacheName & "UserData")(1)) Or MemberName=Session(CacheName & "UserData")(0) Then 的OR导致恶意用户可以利用伪造COOKIE信息进行欺骗，得到前台管理员权限。

解决方案:
厂商补丁：
LvBBS
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：
http://www.loveling.net/