安全研究
安全漏洞
安全漏洞
所有系统
AIX
BSD(eg,OpenBSD)
Digital Unix
HP-UX
IRIX
Linux
FreeBSD
SCO UNIX
SunOS
Solaris
Windows
所有类型
远程进入系统
本地越权访问
拒绝服务攻击
嵌入恶意代码
Web数据接口
其他类型
ZPanel "Protected Directories"模块"inHTUsername"命令注入漏洞
发布日期:
2013-06-10
更新日期:
2013-07-18
受影响系统:
zpanelcp zpanelcp 10.x
描述:
ZPanel是用PHP编写的开源虚拟主机控制面板,适用于Microsoft® Windows™、POSIX (Linux, UNIX and MacOSX)系统服务器。
ZPanel 10.0.2版本在"module"为"htpasswd"、"selected" 为"Selected"、"path"为"/"时,没有正确过滤index.php的"inHTUsername"POST参数值,即将其用在panel/modules/htpasswd/code/controller.ext.php的"system()"调用中。可使攻击者注入和执行任意shell命令。成功利用此漏洞需要具有"Protected Directories"模块的访问权,并且启用"Protected Directories"模块。
<*来源:shachibista
链接:
http://secunia.com/advisories/53412/
http://www.osvdb.org/94038
http://www.metasploit.com/modules/exploit/unix/webapp/zpanel_username_exec
*>
建议:
厂商补丁:
zpanelcp
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.zpanelcp.com/
浏览次数:
4228
严重程度:
0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客
