Bug per IbuySpy e Portal Starter Kit

di Daniele Bochicchio, in ASP.NET,

Un bug molto serio può compromettere le installazioni.

Il dev team di ASP.NET nella persone di Scott Guthrie, Program Manager, ha annunciato ieri un bug abbastanza grave, che permette ad un utente di guadagnare i privilegi di amministratore e cambiare praticamente tutte le opzioni di IbuySpy e Portal Starter Kit.
Il bug riguarda solo la versione VB.NET ed in modo specifico quelle che utilizzano la Form Authentication.

Per l'ultimo è disponibile una versione 1.0b, sul sito, mentre per il primo è necessario seguire questo processo:
- aprire il file admin\Register.aspx
- trovare l'handler RegisterBtn_Click
- sostituire
If accountSystem.AddUser(Name.Text, Email.Text, Password.Text) Then
con
If (accountSystem.AddUser(Name.Text, Email.Text, Password.Text) > -1) Then

E' suggerito anche di cambiare la password di amministratore e controllare che non sia stato modificato nient'altro, perchè di fatto il bug consente l'accesso come amministratore ma non compromette di certo IIS, Windows o altro.

Commenti

Visualizza/aggiungi commenti

| Condividi su: Twitter, Facebook, LinkedIn

Per inserire un commento, devi avere un account.

Fai il login e torna a questa pagina, oppure registrati alla nostra community.

Approfondimenti