安全研究

安全漏洞
cPanel Killacct脚本客户帐户DNS信息删除漏洞

发布日期:2004-06-05
更新日期:2004-06-09

受影响系统:
cPanel cPanel 9.1
cPanel cPanel 9.0
cPanel cPanel 8.0
cPanel cPanel 7.0
cPanel cPanel 6.4.2.STABLE_48
cPanel cPanel 6.4.2
cPanel cPanel 6.4.1
cPanel cPanel 6.4
cPanel cPanel 6.2
cPanel cPanel 6.0
cPanel cPanel 5.3
cPanel cPanel 5.0
描述:
BUGTRAQ  ID: 10468

cPanel是WEB主机控制管理系统。

cPanel 'killacct'脚本实现存在问题,远程攻击者可以利用这个漏洞删除属于其他管理者下的帐户的DNS信息。

远程验证管理者可以调用'/scripts/killacct'删除其他不是此管理者客户的帐户的DNS信息,这可以通过构建如下特殊COOKIE形式完成:

:2086/scripts/killacct?domain=(domain)&user=(user)&submit-domain=Terminate

<*来源:qbann targ (web@atomicrealms.com
  
  链接:http://www.securitytracker.com/alerts/2004/Jun/1010398.html
*>

建议:
厂商补丁:

cPanel
------
最新的cPanel RELEASE (current)不存在此问题,建议用户下载使用:

http://www.cpanel.net/

浏览次数:2701
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障