NVD Vulnerability Detail
Search Exploit, PoC
CVE-2008-1971
Summary

phShoutBox Final 1.5 and earlier only checks passwords when specified in $_POST, which allows remote attackers to gain privileges by setting the (1) phadmin cookie to admin.php, or (2) in 1.4 and earlier, the ssbadmin cookie to shoutadmin.php.

Publication Date April 28, 2008, 3:05 a.m.
Registration Date Jan. 29, 2021, 1:35 p.m.
Last Update Sept. 29, 2017, 10:30 a.m.
CVSS2.0 : HIGH
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I)
可用性への影響(A)
Get all privileges. いいえ
Get user privileges いいえ
Get other privileges はい
User operation required いいえ
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:phphq:phshoutbox_final:*:*:*:*:*:*:*:* 1.5
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
phShoutBox Final における権限を取得される脆弱性
Title phShoutBox Final における権限を取得される脆弱性
Summary

phShoutBox Final は、$_POST で指定されている場合にのみパスワードをチェックするため、権限を取得される脆弱性が存在します。

Possible impacts 第三者により、以下を設定されることで、権限を取得される可能性があります。 (1) admin.php へ phadmin クッキーを設定 (2) 1.4 およびそれ以前のバージョンでは shoutadmin.php へ ssbadmin クッキーを設定
Solution

ベンダ情報および参考情報を参照して適切な対策を実施してください。
Publication Date April 27, 2008, midnight
Registration Date Dec. 20, 2012, 6:52 p.m.
Last Update Dec. 20, 2012, 6:52 p.m.
Affected System
phphq
phshoutbox final 1.5 およびそれ以前
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2012年12月20日]
  掲載		 Feb. 17, 2018, 10:37 a.m.