В открытой панели управления хостингом zPanel обнаружена критическая уязвимость, которая позволяет любому пользователю, имеющему доступ к интерфейсу панели управления, выполнить произвольные команды на сервере с правами пользователя root. Как сообщается на форуме zPanel, уязвимость содержится и в последней версии zPanel 10.0.2. Кроме того, доступно описание эксплуатации бреши. Ошибка вызвана сочетанием отсутствия должных проверок входящих значений с наличием средств для выполнения произвольных операций с правами пользователя root. Уязвимость содержится в модуле ZPX HTPASSWD – модуль не может санировать ввод данных пользователем. Наличие уязвимости подтвердили разработчики zPanel. Они рекомендуют пользователям zPanel отключить уязвимый модуль HTPASSWD. На текущий момент ИБ-эксперты проводят тестирование исправления. Разработчики сообщают, что патч станет доступен сразу после успешного завершения тестирования. (zPanel/NovostIT)
