WHM e cPanel XSS

[AGGIORNAMENTO – Aggiunto screenshot con la versione più recente di WHM 11.34.1.5]

Il ricercatore Christy Philip Mathew ha individuato in data odierna diverse vulnerabilità di tipo XSS (Cross Site Scripting) in uno dei più affermati pannelli di controllo per server linux, cPanel e il relativo Host Manager WHM.

Abbiamo testato personalmente la vulnerabilità sfruttando la piattaforma demo messa a disposizione da cPanel, accedendo al portale WHM dal sito ufficiale con le credenziali “demo”-“demo” è possibile verificare tale vulnerabilità. Di seguito la procedura passo a passo:

Test XSS in WHM

  1. Accedere a WHM > http://demo.cpanel.net:2086/login/?user=demo&pass=demo
  2. Accedere al tab “Server configuration”;
  3. Accedere al tab “Basic cPanel & WHM Setup”
  4. Inserire in una qualsiasi delle quattro text post il codice JavaScript.

Test XSS in cPanel

  1. Accedere a cPanel > http://x3demob.cpx3demo.com:2082/login/?user=x3demob&pass=x3demob
  2. Accedere a “Bandwidth Transfer Detail”;
  3. Iniettare il parametro “domain” con il codice JavaScript;

Link diretto al XSS

Dopo il salto vi lasciamo con un ulteriore video dimostrativo..

Via | The Hacker News