漏洞信息详情

Ajenti‘Command’字段HTML注入漏洞

• CNNVD编号：CNNVD-201401-447
• 危害等级： 
  
• CVE编号：
• 漏洞类型： 输入验证
• 发布时间： 2014-01-26
• 威胁类型： 远程
• 更新时间： 2014-01-26
• 厂        商：
• 漏洞来源： projectzero labs

漏洞简介

Ajenti是白俄罗斯软件开发者Eugene Pankov所研发的一套基于Web的开源服务器管理系统。该系统附带多种预制插件，用于配置和监控服务器软件和服务，如Apache、计划任务（Cron）等。

Ajenti中存在HTML注入漏洞，该漏洞源于程序没有验证用户提交的输入。攻击者可利用该漏洞在受影响站点运行攻击者提供的HTML或js代码，可窃取基于cookie的身份认证，控制站点呈现给用户的方式，也可能存在其他形式的攻击。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://ajenti.org/

参考网址

来源: BID

名称: 64982

链接:http://www.securityfocus.com/bid/64982

受影响实体

暂无

补丁

暂无