cPanel上周發(fā)布了補(bǔ)丁程序,以解決cPanel&WebHost Manager(WHM)中的三個(gè)漏洞�����,其中一個(gè)漏洞導(dǎo)致兩因素身份驗(yàn)證繞過��。
為L(zhǎng)inux����,cPanel和WHM構(gòu)建的一套工具可幫助托管提供商和用戶自動(dòng)化管理和網(wǎng)絡(luò)托管任務(wù)����。憑借20多年的網(wǎng)絡(luò)托管經(jīng)驗(yàn),cPanel聲稱使用cPanel&WHM的服務(wù)器已經(jīng)啟動(dòng)了超過7,000萬個(gè)域��。
由數(shù)字防御公司(Digital Defense����,Inc.)的安全研究人員確定�,2FA旁路問題可能使攻擊者能夠?qū)Panel&WHM進(jìn)行暴力攻擊��。研究人員說����,了解或訪問有效憑據(jù)的攻擊者可以在幾分鐘內(nèi)繞過帳戶的2FA保護(hù)。
該漏洞的CVSS評(píng)分為4.3��,導(dǎo)致攻擊者能夠重復(fù)提交2FA代碼���。
cPanel解釋說: “兩因素驗(yàn)證代碼驗(yàn)證失敗現(xiàn)在被視為等同于帳戶主密碼驗(yàn)證失敗和cPHulk限制的速率������!
發(fā)現(xiàn)cPanel&WHM內(nèi)部版本11.92.0.2����、11.90.0.17和11.86.0.32易受攻擊。
由于創(chuàng)建到其他接口的URI的方式���,也發(fā)現(xiàn)相同的構(gòu)建易于受到URL參數(shù)注入的影響�。
創(chuàng)建URI時(shí)(通過在URI查詢參數(shù)中包括用戶提供的數(shù)據(jù))���,使用URL編碼而不是URI編碼���。因此�����,用戶可能會(huì)被誘騙執(zhí)行意外的動(dòng)作��。
上周解決的第三個(gè)漏洞是WHM傳輸工具界面中的XSS自我問題�,該錯(cuò)誤信息未正確編碼���,因此可能會(huì)將HTML代碼注入某些消息中。發(fā)現(xiàn)內(nèi)部版本11.92.0.2和11.90.0.17容易受到攻擊����。
“ cPanel安全團(tuán)隊(duì)和獨(dú)立安全研究人員確定了已解決的安全問題。cPanel上周表示: “沒有理由相信這些漏洞已經(jīng)為公眾所了解����。”
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
