关于2013年11月域名系统软件及域名机构漏洞风险的情况通报-z6尊龙旗舰厅

cnvd对域名机构广泛使用的系统软件或应用软件进行了分类收录。11月，cnvd收录了cisco prime network registrar、webers cms、whmcs、isc bind 9等4个软件存在的多个漏洞。上述漏洞均由厂商提供了z6尊龙旗舰厅的解决方案，cnvd提醒相关行业用户尽快下载补丁更新。

（一）cisco prime network registrar跨站脚本漏洞

cisco prime network registrar是一款集成、可扩展的可靠域名系统(dns)、动态主机配置协议(dhcp)和适用于ipv4和ipv6的ip地址管理(ipam)服务的z6尊龙旗舰厅的解决方案。该产品被披露存在web接口跨站脚本漏洞，由于接口未充分过滤用户提交的输入，远程攻击者利用漏洞可构建恶意url，诱使用户解析，获取敏感信息或劫持用户会话。该漏洞的综合评级为“中危”，可参考cnvd漏洞公告信息：

（二）whmcs 'unserialize()'存在多个漏洞

whmcs是一款集主机财务管理系统、主机财务系统、域名财务管理系统、域名注册业务系统为一体的财务管理系统。whmcs被披露存在多个漏洞，远程攻击者利用漏洞提交特殊请求以web权限执行任意php代码。该漏洞的综合评级为“高危”，可参考cnvd漏洞公告信息：

（三）webers cms存在多个输入验证漏洞

webers cms是一套域名内容管理系统，该系统支持域名注册、域名续期、域名转让等功能。webers cms被披露存在跨站脚本、sql注入、文件包含等多个输入验证漏洞，远程攻击者利用漏洞可获得敏感信息。该漏洞的综合评级为“高危”，cnvd提醒相关行业用户尽快下载补丁更新，相关z6尊龙旗舰厅的解决方案，可参考cnvd漏洞公告信息：

（四）isc bind winsock api存在安全漏洞

isc bind是一款dns协议的实现。isc bind winsock api接口存在安全漏洞，由于接口的网络掩码是被用来计算各接口的广播域在内置"localnets" acl，攻击者可以利用漏洞导致ipv4地址相匹配，获得bind功能配置访问 "localnets"。该漏洞的综合评级为“中危”，可参考cnvd漏洞公告信息：

根据cnvd及合作单位wooyun网站收到的漏洞事件报告，11月份共收到7起涉及6家境内域名机构的漏洞风险事件。从漏洞类型和构成威胁看，目录遍历、sql注入、权限绕过漏洞较多，可构成网站文件信息或用户敏感信息泄露。详细列表和典型案例见附件。

附件：

一、域名机构漏洞风险事件列表

(一)新网销售信息管理系统权限绕过漏洞

参考链接：

（二）西部数码域名管理邮箱设计漏洞

成都西维数码科技有限公司是中国互联网服务提供商，服务项目包括域名注册、虚拟主机、vps、云主机、企业邮箱、主机租用、主机托管、cdn网站加速、网络营销服务等。根据漏洞报送者报告的情况，西部数码域名管理邮箱存在设计漏洞。由于注册返回的验证码固定非随机字符，攻击者利用漏洞可发起域名劫持攻击。cnvd对该漏洞的综合评级为“中危”。

参考链接：

（三）新网互联云邮网站目录遍历漏洞

新网互联是北京新网互联科技有限公司拥有的互联网服务品牌，是中国互联网应用服务提供商。根据漏洞报送者报告的情况，新网互联云邮网站（）存在目录遍历漏洞。由于网站配置不当，攻击者利用漏洞可遍历网站目录序列，获得网站敏感信息，构成信息泄露和运行安全风险。cnvd对该漏洞的综合评级为“中危”。

参考链接：

（四）成都世纪东方建站超市sql注入漏洞

成都世纪东方网络通信有限公司主营域名注册、虚拟主机、服务器租用、托管、网站建设、网站推广、企业邮箱、web应用软件开发等。根据漏洞报告者报送的情况，成都世纪东方建站超市（）存在sql注入漏洞。由于网站对用户的输入缺少过滤，攻击者利用漏洞可获得网站数据库敏感信息，构成信息泄露和运行安全风险。cnvd对该漏洞的综合评级为“高危”。

参考链接：