FTP Admin多个远程输入验证漏洞

漏洞信息详情

FTP Admin多个远程输入验证漏洞

• CNNVD编号：CNNVD-200712-029
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2007-6232
  
• 漏洞类型：
  
  
  跨站脚本
  
• 发布时间：
  
  2007-11-30
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2007-12-04
  
• 厂        商：
  
  windriver
• 漏洞来源：
  Omni omnipresent@N…

FTP Admin是结合vsFTPd、sudo、apache和PHP使用的用户管理工具。

FTP Admin的实现上存在多个输入验证漏洞，远程攻击者可能利用此漏洞获取非授权访问。

FTP Admin的index.php文件中没有正确地验证对page参数的输入，允许远程攻击者包含本地或外部FTP资源的任意文件。成功攻击要求有效的用户凭据。

index.php文件中没有正确地验证认证，远程攻击者无需拥有有效的用户凭据便可以通过将loggedin参数设置为true登录并添加新的FTP用户。成功攻击要求打开了register_globals。

如果page设置为error的话，index.php文件中没有正确地过滤对error参数的输入便返回给了用户，这可能导致在用户浏览器会话中执行任意HTML和脚本代码。

目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://ftpadmin.sourceforge.net/

来源: XF

名称: ftp-admin-index-xss(38780)

链接:http://xforce.iss.net/xforce/xfdb/38780

来源: MILW0RM

名称: 4681

链接:http://www.milw0rm.com/exploits/4681

来源: SECUNIA

名称: 27875

链接:http://secunia.com/advisories/27875

来源：NSFOCUS
名称：11224
链接：http://www.nsfocus.net/vulndb/11224