CNVD对域名机构广泛使用的系统软件或应用软件进行了分类收录。11月，CNVD收录了Cisco Prime Network Registrar、Webers CMS、WHMCS、ISC BIND 9等4个软件存在的多个漏洞。上述漏洞均由厂商提供了解决方案，CNVD提醒相关行业用户尽快下载补丁更新。

（一）Cisco Prime Network Registrar跨站脚本漏洞

Cisco Prime Network Registrar是一款集成、可扩展的可靠域名系统(DNS)、动态主机配置协议(DHCP)和适用于IPv4和IPv6的IP地址管理(IPAM)服务的解决方案。该产品被披露存在Web接口跨站脚本漏洞，由于接口未充分过滤用户提交的输入，远程攻击者利用漏洞可构建恶意URL，诱使用户解析，获取敏感信息或劫持用户会话。该漏洞的综合评级为“中危”，可参考CNVD漏洞公告信息：http://www.cnvd.org.cn/flaw/show/CNVD-2013-14790

（二）WHMCS 'unserialize()'存在多个漏洞

WHMCS是一款集主机财务管理系统、主机财务系统、域名财务管理系统、域名注册业务系统为一体的财务管理系统。WHMCS被披露存在多个漏洞，远程攻击者利用漏洞提交特殊请求以WEB权限执行任意PHP代码。该漏洞的综合评级为“高危”，可参考CNVD漏洞公告信息：http://www.cnvd.org.cn/flaw/show/CNVD-2013-14660

（三）Webers CMS存在多个输入验证漏洞

Webers CMS是一套域名内容管理系统，该系统支持域名注册、域名续期、域名转让等功能。Webers CMS被披露存在跨站脚本、SQL注入、文件包含等多个输入验证漏洞，远程攻击者利用漏洞可获得敏感信息。该漏洞的综合评级为“高危”，CNVD提醒相关行业用户尽快下载补丁更新，相关解决方案，可参考CNVD漏洞公告信息：http://www.cnvd.org.cn/flaw/show/CNVD-2013-14431

（四）ISC BIND Winsock API存在安全漏洞

ISC BIND是一款DNS协议的实现。ISC BIND Winsock API接口存在安全漏洞，由于接口的网络掩码是被用来计算各接口的广播域在内置"localnets" ACL，攻击者可以利用漏洞导致IPv4地址相匹配，获得BIND功能配置访问 "localnets"。该漏洞的综合评级为“中危”，可参考CNVD漏洞公告信息：

根据CNVD及合作单位WOOYUN网站收到的漏洞事件报告，11月份共收到7起涉及6家境内域名机构的漏洞风险事件。从漏洞类型和构成威胁看，目录遍历、SQL注入、权限绕过漏洞较多，可构成网站文件信息或用户敏感信息泄露。详细列表和典型案例见附件。

附件：

一、域名机构漏洞风险事件列表

(一)新网销售信息管理系统权限绕过漏洞

参考链接：http://www.wooyun.org/bugs/wooyun-2013-041744

（二）西部数码域名管理邮箱设计漏洞

成都西维数码科技有限公司是中国互联网服务提供商，服务项目包括域名注册、虚拟主机、VPS、云主机、企业邮箱、主机租用、主机托管、CDN网站加速、网络营销服务等。根据漏洞报送者报告的情况，西部数码域名管理邮箱存在设计漏洞。由于注册返回的验证码固定非随机字符，攻击者利用漏洞可发起域名劫持攻击。CNVD对该漏洞的综合评级为“中危”。

参考链接：http://www.wooyun.org/bugs/wooyun-2013-041773

（三）新网互联云邮网站目录遍历漏洞

新网互联是北京新网互联科技有限公司拥有的互联网服务品牌，是中国互联网应用服务提供商。根据漏洞报送者报告的情况，新网互联云邮网站（http://119.254.72.250）存在目录遍历漏洞。由于网站配置不当，攻击者利用漏洞可遍历网站目录序列，获得网站敏感信息，构成信息泄露和运行安全风险。CNVD对该漏洞的综合评级为“中危”。

参考链接：http://www.wooyun.org/bugs/wooyun-2013-042314

（四）成都世纪东方建站超市SQL注入漏洞

成都世纪东方网络通信有限公司主营域名注册、虚拟主机、服务器租用、托管、网站建设、网站推广、企业邮箱、web应用软件开发等。根据漏洞报告者报送的情况，成都世纪东方建站超市（http://www.91zhuji.cn）存在SQL注入漏洞。由于网站对用户的输入缺少过滤，攻击者利用漏洞可获得网站数据库敏感信息，构成信息泄露和运行安全风险。CNVD对该漏洞的综合评级为“高危”。

参考链接：http://www.wooyun.org/bugs/wooyun-2013-042220