发布日期：2009-06-19
更新日期：2009-06-22

受影响系统：

JBMC Software DirectAdmin 1.33.6

描述：

---

BUGTRAQ  ID: 35450
CVE(CAN) ID: CVE-2009-2216

DirectAdmin是一功能强大的虚拟主机在线管理系统。

DirectAdmin的CMD_REDIRECT没有正确地过滤对view参数所传送的输入便返回给了用户，远程攻击者可以通过提交恶意请求执行跨站脚本攻击，导致在用户浏览器会话中执行任意HTML和脚本代码。

<*来源：r0t
  
  链接：http://pridels-team.blogspot.com/2009/06/directadmin-v1336-xss-vuln.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://www.directadmin.com:2222/CMD_REDIRECT?view=advanced&sort1%22%3E%3Cscript%3Ealert(111);%3C/script%3E=1&domain=demo.com

建议：

---

厂商补丁：

JBMC Software
-------------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://directadmin.com/

浏览次数：2578
严重程度：0（网友投票）