cPanel跨站脚本和跨站请求伪造漏洞

- AV AC AU C I A
发布: 2025-04-13
修订: 2025-04-13

BUGTRAQ ID: 29125 CVE(CAN) ID: CVE-2008-2070,CVE-2008-2071 cPanel是基于web的工具,用于自动化控制网站和服务器。 cPanel的WHM接口允许用户管理和访问cPanel及WHM软件包的核心。这个接口没有正确地防范跨站脚本和跨站请求伪造攻击,允许远程攻击者通过提交恶意请求在服务器上执行任意代码。 所有管理用户输入的函数都存在跨站脚本漏洞,以下为部分有漏洞的函数列表: * Knowlege Base(/scripts2/knowlegebase?issue=[INJECTION]&amp;domain=) * Change Ip to domain(/scripts2/changeip?domain=any&amp;user=[INJECTION]) * List user account(/scripts2/listaccts?searchtype=domain&amp;search=[INJECTION]&amp;acctp=30) 所有通过HTTP方式执行操作(如重启服务或整个服务器)的函数都存在跨站请求伪造漏洞。 cPanel 11.18.3-R21703 cPanel ------ 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载: <a href=http://www.cpanel.net target=_blank>http://www.cpanel.net</a>

0%
暂无可用Exp或PoC
当前有0条受影响产品信息