行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
cPanel和WebHost Manager中修补的2FA绕过漏洞
2020-11-26 10:39:20 【

cPanel上周发布了补丁程序,以解决cPanel&WebHost Manager(WHM)中的三个漏洞,其中一个漏洞导致两因素身份验证绕过。

为Linux,cPanel和WHM构建的一套工具可帮助托管提供商和用户自动化管理和网络托管任务。凭借20多年的网络托管经验,cPanel声称使用cPanel&WHM的服务器已经启动了超过7,000万个域。

由数字防御公司(Digital Defense,Inc.)的安全研究人员确定,2FA旁路问题可能使攻击者能够对cPanel&WHM进行暴力攻击。研究人员说,了解或访问有效凭据的攻击者可以在几分钟内绕过帐户的2FA保护。

该漏洞的CVSS评分为4.3,导致攻击者能够重复提交2FA代码。

cPanel解释说: “两因素验证代码验证失败现在被视为等同于帐户主密码验证失败和cPHulk限制的速率。”

发现cPanel&WHM内部版本11.92.0.2、11.90.0.17和11.86.0.32易受攻击。

由于创建到其他接口的URI的方式,也发现相同的构建易于受到URL参数注入的影响。

创建URI时(通过在URI查询参数中包括用户提供的数据),使用URL编码而不是URI编码。因此,用户可能会被诱骗执行意外的动作。

上周解决的第三个漏洞是WHM传输工具界面中的XSS自我问题,该错误信息未正确编码,因此可能会将HTML代码注入某些消息中。发现内部版本11.92.0.2和11.90.0.17容易受到攻击。

“ cPanel安全团队和独立安全研究人员确定了已解决的安全问题。cPanel上周表示: “没有理由相信这些漏洞已经为公众所了解。”


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇许多顶级在线购物网站很容易成为.. 下一篇XSS绕过及防御(Web漏洞及防御)

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800