信息提供：

漏洞类别：

攻击类型：

发布日期：

更新日期：

受影响系统：

安全系统：

无

漏洞报告人：

漏洞描述：

Secunia Advisory: SA16629

BFCommand & Control Server Manager存在一些漏洞，可使恶意攻击者绕过某些安全限制或导致拒绝服务。

1）服务器访问控制中存在一个设计错误，可使所有"Super Admin" 无须登录就可访问主控制台。也可通过在用户名处输入一个NULL byte而绕过身份鉴定。

2）由于一个设计错误，许可和命令确认可在客户机上而不是服务器上运行，导致改进的客户机可在服务器上逐步获得更多权限。

3）也可通过给服务器连上20个相邻的连接然后在不登录的情况下拆线可使服务器停止接受用户。

这些漏洞已在BFCC versions 1.22_A版本及更早版本和BFVCC versions及更早版本中报道。

测试方法：

解决方法：

只在可信任的网站上使用BFCC / BFVCC Server Manager