漏洞信息详情
cPanel多个跨站脚本和跨站请求伪造漏洞
- CNNVD编号:CNNVD-200805-094
- 危害等级: 中危
- CVE编号: CVE-2008-2070
- 漏洞类型: 跨站脚本
- 发布时间: 2008-05-12
- 威胁类型: 远程
- 更新时间: 2009-01-29
- 厂 商: cpanel
- 漏洞来源: Matteo Carli matt...
漏洞简介
cPanel是基于web的工具,用于自动化控制网站和服务器。
cPanel的WHM接口允许用户管理和访问cPanel及WHM软件包的核心。这个接口没有正确地防范跨站脚本和跨站请求伪造攻击,允许远程攻击者通过提交恶意请求在服务器上执行任意代码。
所有管理用户输入的函数都存在跨站脚本漏洞,以下为部分有漏洞的函数列表:
* Knowlege Base(/scripts2/knowlegebase?issue=[INJECTION]&domain=)
* Change Ip to domain(/scripts2/changeip?domain=any&user=[INJECTION])
* List user account(/scripts2/listaccts?searchtype=domain&search=[INJECTION]&acctp=30)
所有通过HTTP方式执行操作(如重启服务或整个服务器)的函数都存在跨站请求伪造漏洞。
漏洞公告
目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:
http://www.cpanel.net
参考网址
来源: XF
名称: cpanel-whminterface-xss(42305)
链接:http://xforce.iss.net/xforce/xfdb/42305
来源: BID
名称: 29125
链接:http://www.securityfocus.com/bid/29125
来源: BUGTRAQ
名称: 20080509 XSS and CSRF vulnerability on Cpanel 11
链接:http://www.securityfocus.com/archive/1/archive/1/491864/100/0/threaded
来源: SREASON
名称: 3866
链接:http://securityreason.com/securityalert/3866
来源: MISC
链接:http://changelog.cpanel.net/?revision=0;tree=;treeview=;show=HTML;pp=25;te=1314;pg=2
来源: VUPEN
名称: ADV-2008-1522
链接:http://www.frsirt.com/english/advisories/2008/1522/references
来源: SECUNIA
名称: 30166
链接:http://secunia.com/advisories/30166
来源: FULLDISC
名称: 20080509 XSS and CSRF vulnerability on cPanel 11
链接:http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062197.HTML
受影响实体
- Cpanel Cpanel:11.22.1
- Cpanel Cpanel:11.22.2
- Cpanel Cpanel:11.22
- Cpanel Cpanel:11.18.3
- Cpanel Cpanel:11.18.1
补丁
暂无
评论