VULHUB ™

WHM AutoPilot是一款相关的主机管理系统。 WHM AutoPilot对用户提交的请求缺少充分过滤，远程攻击者可以利用这个漏洞获得敏感信息或查看文件内容，并能以WEB进程执行任意命令。 问题一是跨站脚本问题： /themes/blue/目录下的一些脚本对用户提交的参数缺少充分，提交恶意HTML代码，并诱使用户访问可导致敏感信息泄露。 问题二是信息泄露问题： 默认WHM AutoPilot包含phpinfo()脚本，攻击者可以因此获得敏感信息。 问题三是文件包含： \'\'inc\'\'目录中多个脚本如\'\'header.php/step_one.php\'\'、\'\'step_one_tables.php\'\'、\'\'step_two_tables.php\'\'对\'\'server_inc\'\'变量缺少充分过滤，提交包含远程服务器的恶意文件作为包含文件，可导致以WEB进程权限执行恶意文件中的任意命令。

WHM AutoPilot是一款相关的主机管理系统。 WHM AutoPilot对用户提交的请求缺少充分过滤，远程攻击者可以利用这个漏洞获得敏感信息或查看文件内容，并能以WEB进程执行任意命令。 问题一是跨站脚本问题： /themes/blue/目录下的一些脚本对用户提交的参数缺少充分，提交恶意HTML代码，并诱使用户访问可导致敏感信息泄露。 问题二是信息泄露问题： 默认WHM AutoPilot包含phpinfo()脚本，攻击者可以因此获得敏感信息。 问题三是文件包含： \'\'inc\'\'目录中多个脚本如\'\'header.php/step_one.php\'\'、\'\'step_one_tables.php\'\'、\'\'step_two_tables.php\'\'对\'\'server_inc\'\'变量缺少充分过滤，提交包含远程服务器的恶意文件作为包含文件，可导致以WEB进程权限执行恶意文件中的任意命令。