Secunia Advisory: SA16629
BFCommand & Control Server Manager存在一些漏洞,可使恶意攻击者绕过某些安全限制或导致拒绝服务。
1)服务器访问控制中存在一个设计错误,可使所有"Super Admin" 无须登录就可访问主控制台。也可通过在用户名处输入一个NULL
byte而绕过身份鉴定。
2)由于一个设计错误,许可和命令确认可在客户机上而不是服务器上运行,导致改进的客户机可在服务器上逐步获得更多权限。
3)也可通过给服务器连上20个相邻的连接然后在不登录的情况下拆线可使服务器停止接受用户。
这些漏洞已在BFCC versions 1.22_A版本及更早版本和BFVCC versions及更早版本中报道。 |