跳至主內容

Symantec LiveUpdate Administrator 未經授權漏洞

最後更新 2014年03月31日 18:00 發佈日期: 2014年03月31日 1013 觀看次數

風險: 高度風險

類型: 保安軟件及應用設備 - 保安軟件及應用設備

類型: 保安軟件及應用設備

在 Symantec LiveUpdate Administrator 發現兩個漏洞,遠端使用者可利用漏洞插入 SQL 指令。遠端使用者可重設賬戶密碼至任意值。

  • 該管理網頁介面未能正確地驗証用戶提供的輸入。遠端使用者可提供特製的參數值在背後的數據庫執行 SQL 指令。
  • 該管理網頁介面未能對忘記密碼功能提供正確的保護。遠端使用者若知悉有效用戶的電郵地址,能重設目標賬戶的密碼至任意值。

影響

  • 繞過保安限制

受影響之系統或技術

  • Symantec LiveUpdate Administrator 2.3.2 及之前

解決方案

在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。

  • 更新至版本 2.3.2.110。

漏洞識別碼


資料來源


相關連結