Уязвимость раскрытия информации обнаружена в Internet Information Server (IIS) Authentication Manager, утилите, используемой для изменения паролей пользователей на системе через Web интерфейс. Удаленный пользователь может определить существование имени пользователя.
Удаленный пользователь может запросить изменение пароля для определенного имени пользователя. Если имя пользователя существует на целевом сервере, целевой сервер ответит следующим сообщением:
"The specified network password is not correct."
Если не существует, то следующим:
"The user name could not be found."
Уязвимость обнаружена в Microsoft IIS 4.0-6.0.
