WBCE CMS访问控制错误漏洞
WBCE CMS是一套基于PHP和MySQL的开源内容管理系统(CMS)。
一、漏洞分析
公开日期:2023-01-12
漏洞编号:CNVD-2023-02271/CVE-2022-4006
危害等级:高危
漏洞描述:WBCE CMS存在访问控制错误漏洞,该漏洞源于其Header Handler组件中wbce/framework/class.login.php文件的increase_attempts函数对X-Forwarded-For参数未适当地限制过多的身份验证尝试。攻击者可利用漏洞不受限制的进行身份验证。
二、漏洞影响产品
WBCE WBCE CMS
三、漏洞处置建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/wbce/wbce_cms/commit/d394ba39a7bfeb31eda797b6195fd90ef74b2e75/
