| ثغرة XSS في مدير ملفات لوحة تحكم Cpanel |
| الكاتب عبدالمهيمن الآغا |
| الأربعاء, 18 مارس 2009 13:13 |
|
تستخدم لوحة تحكم Cpanel بشكل كبير في شركات الاستضافة لكي توفر للمستخدمين تحكم سهل وشامل بمواقعهم وتعتبر Cpanel اللوحة الأكثر شهرة في هذا المجال, تم بتاريخ اليوم اكتشاف ثغرة من نوع XSS بالاصدار 11.24.4-CURRENT في مدير الملفات الخاص بها تمكن المهاجم من تشغيل أكواد Javascript, وببرمجة الاستغلال بطريقة معينة قد تسمح بتغيير كلمة مرور احداى الايميلات الموجودة في لوحة التحكم.
مكتشف الثغرة: Rizki Wicaksono
إضافة إلى المفضلة
مشاركة
إرسال إلى صديق
المشاهدات: 2161 التعليقات (4)
  أرسلت بواسطة: Mustafa Albazy في March 18, 2009
في الحقيقة الـ cPanel لاخوف عليها من هذه الاشياء, لئن خلال ساعة إلى خمس ساعات بالكثير تلاحظ أن ظهر لك تحديثات في WHM كترقيع او خلافة .. وأيضاً لو تلاحظ أن التحديثات مستمرة بشكل يومي أو بين يوم و أخر .. وهذا ما يميز cPanel عن غيرها!..
 أرسلت بواسطة: عبدالمهيمن في March 18, 2009
كلامك صحيح أخ مصطفى لكن المشكلة ليست في Cpanel بل في شركات الاستضافة ومدراء السيرفرات الذين لا يهتمون بالتحديث والترقيعات الأمنية..!
أضف تعليق
يجب عليك الاشتراك بالموقع لتتمكن من كتابة التعليقات, الاشتراك مجاني ويستغرق بضع ثوان فقط!
اذا كنت مشترك مسبقا في الموقع فضلاً قم بتسجيل الدخول. |
تحتوي لوحة Cpanel على مدير ملفات File Manager ومدير ملفات آخر يدعى Legaly FileManager ولقد تمكن المكتشف من استغلال الثغرة بنجاح على الاثنين لكن يعتبر LFM أكثر اصابة من File Manager وذلك لعدم فلترة أسماء المجلدات/الملفات قبل عرضها وبمجرد استعراض اسم الملف/المجلد الذي يحتوي على كود Javascript سيتم تشغيل الاستغلال وارسال طلب من نوع POST باستخدام تقنية AJAX يقوم بتغيير كلمة مرور الايميل الموجود في لوحة التحكم! بينما في مدير الملفات الافتراضي File Manager يتم فلترة أسماء الملفات والمجلدات قبل عرضها لكن بمجرد محاولة نقلها, حذفها, نسخها, اعادة تسميتها, تغيير تصريحها, تعديلها, ضغطها أو فك ضغطها سيتم تشغيل كود الاستغلال.
