漏洞信息详情
WHM Autopilot多个安全漏洞
- CNNVD编号:CNNVD-200412-341
- 危害等级: 低危
- CVE编号: CVE-2004-1422
- 漏洞类型: 输入验证
- 发布时间: 2004-12-31
- 威胁类型: 远程
- 更新时间: 2006-09-22
- 厂 商: whm
- 漏洞来源: GulfTech Security ...
漏洞简介
WHM AutoPilot是一款相关的主机管理系统。 WHM AutoPilot对用户提交的请求缺少充分过滤,远程攻击者可以利用这个漏洞获得敏感信息或查看文件内容,并能以WEB进程执行任意命令。 问题一是跨站脚本问题: /themes/blue/目录下的一些脚本对用户提交的参数缺少充分,提交恶意HTML代码,并诱使用户访问可导致敏感信息泄露。 问题二是信息泄露问题: 默认WHM AutoPilot包含phpinfo()脚本,攻击者可以因此获得敏感信息。 问题三是文件包含: \'\'inc\'\'目录中多个脚本如\'\'header.php/step_one.php\'\'、\'\'step_one_tables.php\'\'、\'\'step_two_tables.php\'\'对\'\'server_inc\'\'变量缺少充分过滤,提交包含远程服务器的恶意文件作为包含文件,可导致以WEB进程权限执行恶意文件中的任意命令。
漏洞公告
厂商补丁: WHM --- 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.whmautopilot.com/
参考网址
来源: www.whmautopilot.com 链接:http://www.whmautopilot.com/forum/lofiversion/index.php/t6785.HTML 来源: SECUNIA 名称: 13673 链接:http://secunia.com/advisories/13673 来源: XF 名称: whm-autopilot-information-disclosure(18701) 链接:http://xforce.iss.net/xforce/xfdb/18701 来源: BID 名称: 12119 链接:http://www.securityfocus.com/bid/12119 来源: www.gulftech.org 链接:http://www.gulftech.org/?node=research&article_id=00059-12272004 来源: BUGTRAQ 名称: 20041231 WHM AutoPilot Security Release [ Plus Upgrade Instructions ] 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110451997904494&w=2 来源: BUGTRAQ 名称: 20041228 Multiple WHM Autopilot Vulnerabilities 链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110425620105529&w=2 来源:NSFOCUS 名称:7293 链接:http://www.nsfocus.net/vulndb/7293
受影响实体
- Whm Whm_autopilot:2.4.5
- Whm Whm_autopilot:2.4.6
- Whm Whm_autopilot:2.4.6.5
补丁
暂无
评论