cPanel工具中 两个文件管理器文件名HTML注入漏洞
-
受影响系统:
cPanel cPanel 11.24.4-CURRENT描述:
cPanel是基于web的工具,用于自动化控制网站和服务器。Cpanel内嵌有两个文件管理器,分别为标准和旧式文件管理器。这两个文件管理器在处理文件名时存在跨站脚本漏洞,远程攻击者可以通过创建特制的文件名注入并执行脚本。
对于旧式文件管理器,只要查看了文件列表就可以执行攻击者的代码;对于标准文件管理器,文件列表经过转义,但如果用户对恶意文件执行了删除、拷贝、移动、重新命名等任务的话,仍可能执行注入的脚本。
由于文件名中禁用斜线字符,因此攻击者无法直接使用<script>标签加载脚本。为了摆脱这个限制,攻击者可以通过<img>标签onError属性注入脚本并将src属性设置为空字符串来强制触发出错事件。通过<img>标签注入的脚本生成<script>标签,使用document.write()函数执行外部脚本。
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:http://www.cpanel.net
相关视频
-
没有数据
相关阅读 iPhone数据迁移怎么用 iOS 12.4数据迁移功能使用教程iqoo neo和iqoo哪个好 iqoo neo和iqoo对比一览iqoo neo手机发布会直播地址 iqoo neo发布会直播网址iPadOS beta 2下载 iPadOS beta 2固件下载地址dnfhello特权专区活动地址 dnfhello特权专区黑钻礼包领取地址dnfhello语音打团开黑领福利活动地址 dnfhello语音黑钻礼包领取地ELDEN RING什么时候出 ELDEN RING发售时间一览iPadOS怎么升级 iPadOS升级教程
- 文章评论
-
热门文章 没有查询到任何记录。
最新文章
防止DdoS攻击:通过路
解析卡巴斯基特色之漏
网站被sql注入的修复方法Ubuntu破解Windows和防护的三种方法防黑客qq改密码技巧如何保证Foxmail泄露邮箱密码安全
人气排行 路由器被劫持怎么办?路由器DNS被黑客篡改怎防止DdoS攻击:通过路由器绕过DDoS防御攻击如何彻底清除电脑病毒?如何使用无忧隐藏无线路由防蹭网办法车模兽兽激情视频下载暗藏木马使用四款防黑客软件的体会怎么防止木马入侵
查看所有0条评论>>