频道栏目
首页 > 安全 > 网站安全 > 正文

cPanel fileop参数跨站脚本漏洞

2009-12-25 20:40:37           
收藏   我要投稿
影响版本:
cPanel 11.x漏洞描述:
BUGTRAQ  ID: 37394

cPanel是基于Web的工具,用于自动化控制网站和服务器。

cPanel没有正确地过滤提交给frontend/x3/files/fileop.html的fileop参数便返回给了用户,远程攻击者可以通过提交恶意参数请求执行跨站脚本攻击,在用户浏览器会话中执行任意代码。<*参考
RENO (R7e@HoTMaiL.coM
http://secunia.com/advisories/37826/
*>
测试方法:

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!http://www.example.com:2082/frontend/x3/files/fileop.html?opdir=[PATH]&amp;opfile=[FILENAME]&amp;fileop=XSS
http://www.example.com:2082/frontend/x3/files/dofileop.html?fileop=&amp;opdir=&amp;opfile=&amp;dir=%2fhome%2fuser%2ftmp&amp;fileop=HaCkED%20by%20RENO

安全建议:
厂商补丁:

cPanel
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.cpanel.net//

相关TAG标签 脚本 漏洞 参数
上一篇:libcurl函数库的安全性
下一篇:总结揭露骇客入侵ASP+Access或ASP+MSSQL网站的手法+防御
相关文章
图文推荐
文章
推荐
热门新闻

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站