一、 漏洞 CVE-2013-10053 基础信息
漏洞信息
                                        # ZPanel htpasswd 用户名命令执行漏洞

## 概述

ZPanel 10.0.0.2 版本的 htpasswd 模块中存在远程命令执行漏洞。

## 影响版本

- **ZPanel 10.0.0.2**

## 细节

- 漏洞位于创建 `.htaccess` 文件时对 `inHTUsername` 字段的处理。
- 该字段未经过滤即被传递至 `system()` 调用,用于执行系统的 `htpasswd` 命令。
- 攻击者可向用户名字段注入 shell 元字符,从而执行任意系统命令。

## 影响

- **需认证**:攻击者需拥有一个有效的 ZPanel 账户(如默认的 Users、Resellers 或 Administrators 组成员)。
- **无需提权**:执行漏洞不需要提升权限。
- **危害**:允许远程执行任意系统命令,可能导致服务器被完全控制。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
ZPanel <= 10.0.0.2 htpasswd Module Username Command Execution
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A remote command execution vulnerability exists in ZPanel version 10.0.0.2 in its htpasswd module. When creating .htaccess files, the inHTUsername field is passed unsanitized to a system() call that invokes the system’s htpasswd binary. By injecting shell metacharacters into the username field, an authenticated attacker can execute arbitrary system commands. Exploitation requires a valid ZPanel account—such as one in the default Users, Resellers, or Administrators groups—but no elevated privileges.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2013-10053 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2013-10053 的情报信息
四、漏洞 CVE-2013-10053 的评论

暂无评论

发表评论