首页 / 操作系统 / Linux / ZPanel “Protected Directories＂模块＂inHTUsername”命令注入漏洞

发布日期：2013-06-10
更新日期：2013-07-18受影响系统：
zpanelcp zpanelcp 10.x
描述：
--------------------------------------------------------------------------------
ZPanel是用PHP编写的开源虚拟主机控制面板，适用于Microsoft&#174; Windows&#8482;、POSIX （Linux, UNIX and MacOSX）系统服务器。ZPanel 10.0.2版本在"module"为"htpasswd"、"selected" 为"Selected"、"path"为"/"时，没有正确过滤index.php的"inHTUsername"POST参数值，即将其用在panel/modules/htpasswd/code/controller.ext.php的"system（）"调用中。可使攻击者注入和执行任意shell命令。成功利用此漏洞需要具有"Protected Directories"模块的访问权，并且启用"Protected Directories"模块。<*来源：shachibista
 
  链接：http://secunia.com/advisories/53412/
        http://www.osvdb.org/94038
        http://www.metasploit.com/modules/exploit/unix/webapp/zpanel_username_exec
*>建议：
--------------------------------------------------------------------------------
厂商补丁：zpanelcp
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：http://www.zpanelcp.com/Cisco Unified Communications Manager SQL注入漏洞（CVE-2013-3412）Oracle Solaris远程安全漏洞（CVE-2013-3753）相关资讯      ZPanel  本文评论 查看全部评论 （0）

表情： 姓名： 匿名字数 同意评论声明 发表 评论声明 收藏该网址 版权所有©石家庄振强科技有限公司2024 冀ICP备08103738号-5 网站地图