Symantec LiveUpdate Administrator 未經授權漏洞
最後更新
2014年03月31日 18:00
發佈日期:
2014年03月31日
917
觀看次數
風險: 高度風險
類型: 保安軟件及應用設備 - 保安軟件及應用設備
在 Symantec LiveUpdate Administrator 發現兩個漏洞,遠端使用者可利用漏洞插入 SQL 指令。遠端使用者可重設賬戶密碼至任意值。
- 該管理網頁介面未能正確地驗証用戶提供的輸入。遠端使用者可提供特製的參數值在背後的數據庫執行 SQL 指令。
- 該管理網頁介面未能對忘記密碼功能提供正確的保護。遠端使用者若知悉有效用戶的電郵地址,能重設目標賬戶的密碼至任意值。
影響
- 繞過保安限制
受影響之系統或技術
- Symantec LiveUpdate Administrator 2.3.2 及之前
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 更新至版本 2.3.2.110。
漏洞識別碼
資料來源
相關連結
分享至