Разработчики обнаружили критическую уязвимость в zPanel

В открытой панели управления хостингом zPanel обнаружена критическая уязвимость , которая позволяет любому пользователю, имеющему доступ к интерфейсу панели управления, выполнить произвольные команды на сервере с правами пользователя root.

Как сообщается на форуме zPanel, уязвимость содержится и в последней версии zPanel 10.0.2. Кроме того, доступно описание эксплуатации бреши.

Ошибка вызвана сочетанием отсутствия должных проверок входящих значений с наличием средств для выполнения произвольных операций с правами пользователя root.

Уязвимость содержится в модуле ZPX HTPASSWD – модуль не может санировать ввод данных пользователем.

Наличие уязвимости подтвердили разработчики zPanel. Они рекомендуют пользователям zPanel отключить уязвимый модуль HTPASSWD.

На текущий момент ИБ-эксперты проводят тестирование исправления. Разработчики сообщают, что патч станет доступен сразу после успешного завершения тестирования.

С подробным описанием уязвимости можно ознакомиться по адресу:  http://www.securitylab.ru/vulnerability/441496.php