ZPanel “Protected Directories＂模块＂inHTUsername”命令

发布日期：2013-06-10
更新日期：2013-07-18

受影响系统：
zpanelcp zpanelcp 10.x
描述：
--------------------------------------------------------------------------------
ZPanel是用PHP编写的开源虚拟主机控制面板，适用于Microsoft® Windows™、POSIX (Linux, UNIX and MacOSX)系统服务器。

ZPanel 10.0.2版本在"module"为"htpasswd"、"selected" 为"Selected"、"path"为"/"时，没有正确过滤index.php的"inHTUsername"POST参数值，即将其用在panel/modules/htpasswd/code/controller.ext.php的"system()"调用中。可使攻击者注入和执行任意shell命令。成功利用此漏洞需要具有"Protected Directories"模块的访问权，并且启用"Protected Directories"模块。

<*来源：shachibista
 
  链接：
       
       
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

zpanelcp
--------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：