0day na najnowszy WHMCS
Adam Haertle dodał 3 października 2013 o 22:02 w kategorii Drobiazgi, Wpadki
z tagami: SQLi • WHMCS
Serwis localhost.re, specjalizujący się w analizie bezpieczeństwa programów służących do zarządzania serwerami, opublikował błąd typu SQLi w najnowszej wersji panelu WHMCS (5.2.7). Błąd trywialny – jeśli polecenie SQL zaczyna się od „AES_ENCRYPT”, to nie jest ono przepuszczane przez żaden filtr, tylko trafia prosto do bazy. Wystarczy sesja zalogowanego użytkownika, by przeczytać całą zawartość bazy. WHMCS opublikował już łaty. Jeśli wszystkie instancje nie zostaną szybko zaktualizowane, to możemy się spodziewać kolejnych tysięcy serwerów, na których nie wiadomo skąd pojawił się złośliwy kod.
Przykładowy ekran WHMCS
Podobne wpisy
- Dane ponad 100 000 posiadaczy karty miejskiej ZTM Gdańsk mogły wyciec
- Wtyczki dla sklepów obsługujących Przelewy24 z krytycznymi błędami bezpieczeństwa
- Jak przez SQLi włamać się do serwerów 8 banków na całym świecie
- Połączeniami telefonicznymi do SQLi, czyli jak hakują prawdziwi mistrzowie
- Kilkadziesiąt poważnych i wiele innych błędów w serwerach w domenie GOV.PL
