漏洞关键信息 漏洞信息 产品: CWP Control Web Panel 漏洞名称: Cross Site Scripting (XSS) + CSRF 版本: 0.9.8.837 修复版本: 0.9.8.851 测试环境: CentOS 7.6.1810 (Core) 参考链接: - http://centos-webpanel.com/ - https://control-webpanel.com/changelog CVE编号: CVE-2019-13476 漏洞描述 CVE-2019-13476 (XSS) + CVE-2019-13477 (CSRF) 可以在不需知道当前密码的情况下修改密码。 复现步骤 1. 以正常用户身份登录。 2. 在 Email Accounts 下点击 Email Accounts。 3. 点击添加 "New MailBox"。 4. 添加 "New mail" 并拦截请求(使用 Burp Suite 拦截请求)。 5. 在 "domain" 参数中插入攻击载荷,点击 "intercept is on" 使 Burp Suite 运行。 6. 攻击载荷添加成功(在 mail box panel 用户中不存在,但在 panel admin 中存在)。 通过邮件帐户添加过程中插入恶意载荷,可以将受害者重定向到恶意网站。最后,攻击者可以在受害者登录后改变其密码,从而控制账户。 修复建议 1. 更新 CWP Control Web Panel 至修复版本0.9.8.851或更高版本。 2. 强化对XSS和CSRF攻击的防御,例如使用CSRF令牌和输出编码。