安全研究
安全漏洞
cPanel Killacct脚本客户帐户DNS信息删除漏洞
发布日期:2004-06-05
更新日期:2004-06-09
受影响系统:cPanel cPanel 9.1
cPanel cPanel 9.0
cPanel cPanel 8.0
cPanel cPanel 7.0
cPanel cPanel 6.4.2.STABLE_48
cPanel cPanel 6.4.2
cPanel cPanel 6.4.1
cPanel cPanel 6.4
cPanel cPanel 6.2
cPanel cPanel 6.0
cPanel cPanel 5.3
cPanel cPanel 5.0
描述:
BUGTRAQ ID:
10468
cPanel是WEB主机控制管理系统。
cPanel 'killacct'脚本实现存在问题,远程攻击者可以利用这个漏洞删除属于其他管理者下的帐户的DNS信息。
远程验证管理者可以调用'/scripts/killacct'删除其他不是此管理者客户的帐户的DNS信息,这可以通过构建如下特殊COOKIE形式完成:
:2086/scripts/killacct?domain=(domain)&user=(user)&submit-domain=Terminate
<*来源:qbann targ (
web@atomicrealms.com)
链接:
http://www.securitytracker.com/alerts/2004/Jun/1010398.html
*>
建议:
厂商补丁:
cPanel
------
最新的cPanel RELEASE (current)不存在此问题,建议用户下载使用:
http://www.cpanel.net/浏览次数:2701
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |