Netwin SurgeFTP 23f2 Web Manager Interface cgi/surgeftpmgr.cgi Parameter 跨站脚本攻击
CVE编号
CVE-2017-17933利用情况
暂无补丁情况
N/A披露时间
2017-12-30漏洞描述
NetWin SurgeFTP是新西兰NetWin公司的一款FTP服务器。该服务器支持Windows和Linux等平台,提供SSL/TLS加密。 NetWin SurgeFTP 23f2版本中的cgi/surgeftpmgr.cgi文件(TCP 7021或9021端口上的Web Manager界面)存在跨站脚本漏洞,该漏洞源于程序未能过滤用户提交的输入。远程攻击者可借助‘classid’、‘domainid’或‘username’参数利用该漏洞执行操作,例如窃取用户会话令牌或登录证书,记录用户的击键。解决建议
厂商尚未提供漏洞修复方案,请关注厂商主页更新:http://netwinsite.com/surgeftp/
参考链接 |
|
|---|---|
| https://packetstormsecurity.com/files/145572/NetWin-SurgeFTP-23f2-Cross-Site-... |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | netwinsite | surgeftp | 23f2 | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 已更改
- 用户交互 需要
- 可用性 无
- 保密性 低
- 完整性 低
| CWE-ID | 漏洞类型 |
| CWE-79 | 在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论