VHCS PHPSESSID Cookie 工作階段固定
medium Nessus Plugin ID 25990
語系:
概要
遠端 Web 伺服器上有一個 PHP 應用程式受到工作階段固定問題影響。說明
遠端主機正在執行 VHCS,這是主控提供程式的控制面板。遠端主機上安裝的 VHCS 版本的 GUI 部分接受來自 GET (可能還有 POST) 變數的工作階段識別碼,這使其容易遭到工作階段固定攻擊。若攻擊者可誘騙使用者 (例如透過特製的連結) 登入,便可惡意利用此問題,使用已知的工作階段識別碼取得受影響應用程式的存取權。
解決方案
目前尚未知。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 25990
檔案名稱: vhcs_session_fixation.nasl
版本: 1.19
類型: remote
系列: CGI abuses
已發布: 2007/9/5
已更新: 2022/4/11
組態: 啟用徹底檢查
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.2
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
必要的 KB 項目: www/PHP
排除在外的 KB 項目: Settings/disable_cgi_scanning
可輕鬆利用: No exploit is required
參考資訊
CVE: CVE-2007-3988
BID: 25006
CWE: 287