LEOBOARD 5000 输入验证漏洞

/ns/ld/softld/data/20010623101435.htm

涉及程序:
LEOBOARD 5000

描述:
利用雷傲论坛输入验证漏洞获得系统管理员权限

详细:
雷傲论坛是著名 CGI 站点 CGIer.com 的产品,被国内很多知名站点采用。但是发现其中存在漏洞,由于没有严格过滤用户提供的输入,攻击者通过提交一个特殊的请求能直接升级为系统管理员。

首先注册用户“thiz”,登陆,修改信息,在密码域输入“thiz thiz ad”,提交后就成了系统管理员了。

by analysist
http://www.china4lert.org

解决方案:
过滤“\t”特殊字符。