WHM Autopilot多个安全漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1200873 漏洞类型 输入验证
发布时间 2004-12-31 更新时间 2006-09-22
CVE编号 CVE-2004-1421 CNNVD-ID CNNVD-200412-1129
漏洞平台 N/A CVSS评分 7.5
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200412-1129
|漏洞详情
WHMAutoPilot是一款相关的主机管理系统。WHMAutoPilot对用户提交的请求缺少充分过滤,远程攻击者可以利用这个漏洞获得敏感信息或查看文件内容,并能以WEB进程执行任意命令。问题一是跨站脚本问题:/themes/blue/目录下的一些脚本对用户提交的参数缺少充分,提交恶意HTML代码,并诱使用户访问可导致敏感信息泄露。问题二是信息泄露问题:默认WHMAutoPilot包含phpinfo()脚本,攻击者可以因此获得敏感信息。问题三是文件包含:'inc'目录中多个脚本如'header.php/step_one.php'、'step_one_tables.php'、'step_two_tables.php'对'server_inc'变量缺少充分过滤,提交包含远程服务器的恶意文件作为包含文件,可导致以WEB进程权限执行恶意文件中的任意命令。
|参考资料

来源:www.whmautopilot.com
链接:http://www.whmautopilot.com/forum/lofiversion/index.php/t6785.html
来源:www.gulftech.org
链接:http://www.gulftech.org/?node=research&article_id=00059-12272004
来源:SECUNIA
名称:13673
链接:http://secunia.com/advisories/13673
来源:BUGTRAQ
名称:20041231WHMAutoPilotSecurityRelease[PlusUpgradeInstructions]
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110451997904494&w=2
来源:XF
名称:whm-autopilot-php-file-include(18699)
链接:http://xforce.iss.net/xforce/xfdb/18699
来源:BID
名称:12119
链接:http://www.securityfocus.com/bid/12119
来源:BUGTRAQ
名称:20041228MultipleWHMAutopilotVulnerabilities
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110425620105529&w=2
来源:OSVDB
名称:12695
链接:http://www.osvdb.org/12695
来源:SECTRACK
名称:1012707
链接:http://securitytracker.com/id?1012707
来源:NSFOCUS
名称:7293
链接:http://www.nsfocus.net/vulndb/7293